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为 应 对 新 一 轮 科技 革命 与 产业 变革 ,支撑 服务 创新 驱动 发 展 “ 中 国 制造 
2025” 等 一 系列 国家 战略 ,2017 年 2 月 以 来 ,教育 部 积极 推进 新 工科 建设 ,先后 
形成 了 “复旦 共识 “天 大 行动 "和 “北京 指南 ”, 并 发 布 了 《关于 开展 新 工科 研究 
与 实践 的 通知 兴 关于 推进 新 工科 研究 与 实践 项 目的 通知 》 着 力 探索 形成 领跑 
全 球 工程 教育 的 中 国 模式 .中 国 经 验 , 助 力 高 等 教育 强国 建设 。 

新 工科 建设 要 求 创新 工程 教育 方式 与 手段 ,落实 以 学 生 为 中 心 的 理念 , 增 
强 师 生 互 动 , 改 革 教 学 方法 和 考核 方式 ,形成 以 学 习 者 为 中 心 的 工程 教育 模式 。 
推进 信息 技术 和 教育 教学 深度 融合 ,充分 利用 虚拟 仿真 等 技术 创新 工程 实践 教 
学 方式 。 

本 书 基 于 上 述 指导 思想 编写 ,培养 学 生理 论 和 实践 相 结合 的 能 力 ,以 实践 
验证 理论 ,以 理论 促进 实践 。 主 要 内 部 包括 : 作为 理论 基础 的 计算 机 网 络 基础 
知识 ,作为 网 络 互联 技术 基础 的 网 络 互 联 设备 .互联 介质 ,作为 网 络 互联 技术 基 
础 的 网 络 设备 基本 配置 。 通 过 交换 机 、 路 由 器 技术 讲解 整个 网 络 互联 过 程 ,其 
中 交换 机 技术 包括 交换 机 广播 隔离 技术 、 交 换 机 网 络 健壮 性 增强 技术 等 ;路 由 
器 技术 包括 路 由 技术 、 直 连 路 由 与 静态 路 由 技术 、 常 见 的 动态 路 由 协议 ;另外 包 
括 三 层 交 换 以 及 VLAN 间 通 信 , 连 接 互联 网 技术 以 及 访问 控制 列表 技术 等 。 
最 后 通过 大 型 校园 网 组 网 技术 整合 前 面 学 过 的 知识 。 所 有 实践 项 目 均 以 思科 
网 络 设备 为 例 ,并 通过 思科 虚拟 仿真 软件 Packet Tracer, GNS3 以 及 EVE-NG 
进行 。 

全 书 共 分 11 章 ,第 1 章 主要 讲解 计算 机 网 络 基 础 知识 ,第 2 章 对 网 络 互联 
设备 及 互联 介质 进行 了 介绍 ,第 3 章 讲解 了 网 络 设备 基本 配置 ,第 4 章 主要 讲 
解 交 换 机 的 相关 知识 ,包括 VLAN 技术 、VTP 技术 、 生 成 树 协议 以 及 端口 聚合 
技术 等 ,第 5 章 主要 讲解 路 由 器 的 直 连 路 由 及 静态 路 由 技术 ,第 6 章 详细 讲解 
了 动态 路 由 技术 ,包括 RIP.OSPF、EIGRP, 第 7 章 讲 解 三 层 交换 技术 、VLAN 
间 通 信 及 DHCP 技术 ,第 8 章 讲解 访问 控制 列表 (ACL) 及 端口 安全 技术 ,第 9 
章 讲解 网 络 地 址 转换 (NAT) 技 术 , 第 10 章 讲解 广域网 技术 ,包括 帧 中 继 、VPN 
技术 等 ,第 11 章 讲解 大 型 校园 网 的 组 建 过 程 。 
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本 书 有 以 下 特点 : 

(1) 理论 和 实践 相 结合 ,理论 验证 实践 ,实践 促进 理论 。 

(2) 每 个 实践 项 目 都 有 详细 的 配置 过 程 以 及 相关 命令 行 的 解释 。 

(3) 以 校园 网 组 建 这 一 大 型 网 络 互联 项 目 为 依托 ,贯穿 整个 教材 的 编写 。 

(4) 教材 在 章节 习题 中 提供 一 定数 量 的 课外 实践 题目 ,采用 课 内 外 结合 的 方式 ,提高 学 
生 的 工程 实践 能 力 ,使 得 学 生 能 够 满足 当前 网 络 工程 相关 行业 的 需求 。 

(5) 本 书 提供 配套 的 课件 。 

本 书 由 唐 灯 平 编著 。 在 编写 过 程 中 ,通过 百度 搜索 引擎 查阅 了 大 量 资料 ,也 吸取 了 国内 
外 教材 的 精髓 ,在 此 对 相关 作者 的 贡献 表示 由 更 的 感谢 。 本 书 得 到 苏州 大 学 文正 学 院 教材 
建设 基金 资助 ,并 得 到 苏州 大 学 计算 机 科学 与 技术 学 院 领 导 和 同事 们 的 鼓励 和 帮助 ;本 书 在 
出 版 过 程 中 ,还 得 到 清华 大 学 出 版 社 的 大 力 支持 ,在 此 表示 诚挚 的 感谢 。 

由 于 作者 水 平 有 限 , 书 中 难免 有 不 妥 和 朴 漏 之 处 ,恳请 各 位 专家 、 同 仁和 读者 批评 指正 ， 
并 与 笔者 讨论 ,作者 邮箱 tangdp33333(2126. com. 
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第 1 章 计算 机 网 络 基础 知识 


本 章 学 习 目 标 

。 了 解 计算 机 网 络 的 发 展 历史 

。 掌握 计算 机 网 络 的 定义 及 分 类 

。 熟悉 常见 的 交换 技术 ,了 解 计算 机 网 络 的 性 能 指标 
。 精通 计算 机 网 络 的 拓扑 结构 及 特点 

。 掌握 计算 机 网 络 体系 结构 

。 精通 IP 地 址 的 编 址 方案 


本 章 是 网 络 互联 与 实践 课程 的 基础 部 分 ,主要 向 读者 介绍 计算 机 网 络 相关 的 基础 知识 ， 
读者 如 果 已 经 掌握 这 部 分 知识 ,可 以 忽略 本 章 内 容 。 

本 章 首 先 向 读者 介绍 计算 机 网 络 发 展 过 程 ,分 析 计 算 机 网 络 发 展 的 5 个 阶段 ,同时 介绍 
互联 网 发 展 的 3 个 阶段 。 接 着 介绍 计算 机 网 络 的 定义 其 分 类 ,讲解 常见 的 网 络 交换 技术 及 
性 能 指标 ,详细 介绍 常见 的 网 络 拓扑 结构 。 之 后 介绍 计算 机 网 络 的 体系 结构 ,包括 OSI 及 
TCP/IP 模型 。 本 童 最 后 探讨 IP 地 址 的 编 址 方案 。 


1.1 计算 机 网 络 的 发 展 历史 


1.1.1 计算 机 网 络 的 发 展 


计算 机 网 络 的 发 展 大 致 经 历 了 以 下 5 代 。 

1. 第 一 代 计 算 机 网 络 ( 早 期 的 计算 机 网 络 ) 

20 世纪 50 年 代 中 后 期 ,许多 系统 将 地 理 上 分 散 的 多 个 终端 通过 通信 线路 连接 到 一 台 
中 心计 算 机 上 ,形成 了 以 单个 计算 机 为 中 心 的 远程 联机 系统 。 这 个 时 期 的 典型 系统 为 美国 
航空 公司 于 20 世纪 60 年 代 投 入 使 用 的 飞机 订 票 系统 。 它 由 一 台 计 算 机 和 全 美 范围 内 
2000 多 个 终端 组 成 。 这 里 的 终端 是 指 由 一 台 计 算 机 外 部 设备 组 成 的 简单 计算 机 , 仅 包括 显 
示 器 、 键 盘 , 没 有 CPU、 内存 和 硬盘 。 当 时 将 计算 机 网 络 定义 为 : 以 传输 信息 为 目的 而 连接 
起 来 ,以 实现 远程 信息 处 理 或 进一步 达到 资源 共享 的 计算 机 系统 。 计 算 机 网 络 的 定义 具有 
时 代 性 ,不 同 发 展 时 期 的 计算 机 网 络 ,其 定义 也 是 不 同 的 。 

2. 第 二 代 计算 机 网 络 ( 远 程 大 规模 互联 ) 

20 世纪 60 年 代 初 ,美国 和 苏联 之 间 的 冷战 状态 随 之 升温 。 美国 国 防 部 认为 ,如 果 仅 有 
一 个 集中 的 军事 指挥 中 心 , 万 一 这 个 中 心 被 苏联 的 核武 器 挫 典 ,全 国 的 军事 指挥 将 处 于 瘫痪 
状态 ,其 后 果 将 不 堪 设 想 ,因此 有 必要 设计 一 个 分 散 的 指挥 系统 一 一 它 由 一 个 个 分 散 的 指挥 
点 组 成 , 当 部 分 指挥 点 被 摧毁 后 ,其 他 点 仍 能 正常 工作 ,而 这 些 分 散 的 点 又 能 通过 某 种 形式 
的 通信 网 取得 联系 。 另 外 ,苏联 发 射 了 人 类 第 一 颗 人 造 地 球 卫星 ,作为 响应 ,美国 国防 部 
(DOD) 组 建 了 高 级 研究 计划 局 (Advanced Research Projects Agency, ARPA) ,开始 研究 如 
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何 将 科学 技术 应 用 于 军事 领域 。 

第 二 代 计 算 机 网 络 以 多 个 主机 通过 通信 线路 互联 ,这 种 网 络 中 主机 之 间 不 是 直接 用 线 
路 相连 ,而 是 由 端口 报 文 处 理 机 (IMP) 转 接 后 互联 。IMP 和 通信 线路 一 起 负责 主机 间 的 通 
信任 务 ,构成 通信 子 网 。 通 信子 网 互联 的 主机 负责 运行 程序 ,提供 资源 共享 ,组 成 资源 子 网 。 

1969 年 ,美国 国防 部 高 级 研究 计划 局 建成 ARPAnet 实验 网 ,该 网 络 当时 只 有 4 个 结 
点 ,以 电话 线路 为 主干 网 络 。 计 算 机 网 络 中 进行 数据 交换 而 建立 的 规则 、 标 准 或 约定 的 集合 
称 为 网 络 协议 。 在 ARPANET 中 ,将 协议 按 功能 分 成 若干 层次 ,形成 网 络 体系 结构 。 

第 二 代 计 算 机 网 络 开始 以 通信 子 网 为 中 心 ,将 计算 机 网 络 定义 为 : 以 能 够 相互 共享 资 
源 为 目的 而 互联 起 来 的 具有 独立 功能 的 计算 机 集合 体 。 

3. 第 三 代 计 算 机 网 络 ( 计 算 机 网 络 标准 化 阶段 ) 

随 着 计算 机 网 络 技术 的 成 熟 , 应 用 越 来 越 广 ,规模 也 逐渐 增 大 ,通信 变 得 复杂 起 来 。 各 
大 计算 机 公司 纷纷 制定 自己 的 网 络 技术 标准 ,如 IBM 公司 的 网 络 体系 结构 (System 
Network Architecture. SNA ), DEC 公司 的 数字 网 络 体 系 结 构 (Digital Network 
Architecture,DNA) 等 。 这 些 技术 标准 只 在 一 个 公司 范围 内 有 效 。 这 不 利于 计算 机 网 络 的 
发 展 。1977 年 ,ISO 着 手 制定 OSL/RM 一 一 开放 系统 互联 参考 模型 。OSI/RM 的 出 现 标志 
着 第 三 代 计算 机 网 络 诞生 。 

4. 第 四 代 计 算 机 网 络 ( 局 域 网 发 展 ,互联 网 出 现 ) 

20 世纪 80 年 代 , 局 域 网 发 展 成 熟 , 出 现 光纤 及 高 速 网 络 技 术 , 发 展 以 Internet 为 代表 
的 互联 网 。 此 时 计算 机 网 络 定义 为 : 将 多 个 具有 独立 工作 能 力 的 计算 机 系统 通过 通信 设备 
和 线路 相连 ,在 功能 完善 的 网 络 软件 作用 下 实现 资源 共享 和 数据 通信 的 系统 。 

5. 第 五 代 计算 机 网 络 (下 一 代 计算 机 网 络 ) 

下 一 代 计 算 机 网 络 被 普遍 认为 是 互联 网 、 移 动 通信 网 络 .固定 电话 通信 网 络 的 融合 以 及 
IP 网 络 和 光 网 络 的 融合 。 


1.1.2 互联 网 的 发 展 


起 初 ARPANET 把 美国 的 几 个 军事 及 研究 用 计算 机 主机 连接 起 来 。1983 年 , ARPA 
和 美国 国防 部 通信 和 局 研制 成 功 了 用 于 异 构 网 络 的 TCP/IP。 从 此 , TCP/IP 成 为 
ARPANET 上 的 标准 协议 ,使 得 所 有 使 用 TCP/IP 的 计算 机 都 能 利用 互联 网 相互 通信 。 人 
们 把 1983 年 作为 互联 网 的 诞生 年 。 

1986 年 ,美国 国家 科学 基金 会 建立 了 NSFNET 广域网 ,如 今 NSFNET 已 成 为 
InterNET 的 重要 骨干 网 之 一 。1990 年 ,ARPANET 正式 宣布 关闭 。 

20 世纪 90 年 代 以 后 ,以 Internet 为 代表 的 计算 机 网 络 得 到 飞速 发 展 ,已 从 最 初 的 教育 
科研 网 络 (免费 ) 逐 步 发 展 成 为 商业 网 络 ( 有 偿 使 用 )。Internet 网 络 已 经 成 为 全 球 最 大 和 最 
重要 的 计算 机 网 络 。 

网 络 由 若干 结 点 和 连接 这 些 结 点 的 链 路 组 成 。 互 联网 指 的 是 通过 路 由 器 将 网 络 互联 起 
来 ,构成 覆盖 范围 更 大 的 计算 机 网 络 。 互 联网 特 指 Internet, 它 起 源 于 美国 , 现 已 发 展 成 为 
世界 上 最 大 的 、 覆 盖 全 球 的 计算 机 网 络 。 

互联 网 的 发 展 经 过 了 以 下 3 个 阶段 。 

第 一 阶段 : 从 单个 网 络 ARPANET 向 互联 网 发 展 的 过 程 。 
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第 二 阶段 : 建成 三 级 结构 的 互联 网 。 三 级 分 别 为 主干 网 .地 区 网 和 校园 网 (或 企业 网 ) 。 
第 三 阶段 : 逐渐 形成 多 层次 互联 网 服务 提供 商 (Internet Service Provider,ISP) 结 构 的 
互联 网 。 


1.2 计算 机 网 络 的 定义 及 类 型 


1.2.1 计算 机 网 络 的 概念 


计算 机 网 络 的 定义 具有 时 代 性 ,目前 为 止 没 有 形成 标准 统一 的 定义 ,普遍 定义 是 指 将 地 
理 位 置 不 同 的 具有 独立 功能 的 多 台 计 算 机 及 其 外 部 设备 通过 通信 线路 连接 起 来 ,在 网 络 操 
作 系统 、 网 络 管理 软件 及 网 络 通信 协议 的 管理 和 协调 下 ,实现 资源 共享 和 信息 传递 的 计算 机 
系统 。 


1.2.2. 计算 机 网 络 的 分 类 


虽然 网 络 类 型 的 划分 标准 各 种 各 样 ,但 是 从 地 理 范围 划分 是 一 种 大 家 都 认可 的 通用 网 
络 划 分 标准 。 按 这 种 标准 可 以 把 网 络 划分 为 局 域 网 、 城 域 网 以 及 广域网 。 这 里 的 地 理 范围 
是 相对 的 ,并 不 是 绝对 的 。 

局 域 网 (Local Area Network,LAN) 的 覆盖 范围 较 小 ,通常 指 几 千 米 以 内 ,一 般 为 一 个 
建筑 物 或 一 个 单位 内 的 网 络 。 局 域 网 是 比较 常见 的 应 用 较 广 的 网 络 。 局 域 网 随 着 整个 计算 
机 网 络 技术 的 发 展 和 提高 得 到 充分 的 应 用 和 普及 ,几乎 每 个 单位 都 有 自己 的 局 域 网 ,甚至 有 
些 家 庭 也 有 属于 自己 的 小 型 局 域 网 。 

城 域 网 (Metropolitan Area Network,MAN) 的 覆盖 范围 介 于 局 域 网 和 广域网 之 间 , 通 
常 是 在 一 个 城市 内 的 网 络 连接 (距离 为 10km 左右 )。MAN f LAN 扩展 的 距离 更 长 ,连接 
的 计算 机 数量 更 多 ,在 地 理 范围 上 可 以 说 MAN 是 LAN 网 络 的 延伸 。 在 一 个 大 型 城市 或 
都 市 地 区 ,一 个 MAN 网 络 通常 连接 多 个 LAN 网 络 。 

广域网 (Wide Area Network,WAN) 的 分 布 距离 远 ,通过 各 种 类 型 的 串 行 连接 ,以 便 在 
更 大 的 地 理 区 域内 实现 接 入 。 它 一 般 是 在 不 同城 市 之 间 的 LAN 或 者 MAN 网 络 互联 ,地 
理 范围 可 从 几 百 千 米 到 几 千 千 米 。 

在 现实 生活 中 ,局 域 网 占 多 数 。 局 域 网 可 大 可 小 ,无 论 是 在 单位 ,还 是 在 家 庭 ,实现 起 来 
都 比较 容易 ,应 用 最 广泛 。 


1.3 交换 技术 及 计算 机 网 络 性 能 指标 


1.3.1 交换 技术 


网 络 中 常用 的 数据 交换 技术 可 以 分 为 电路 交换 和 存储 转发 交换 两 大 类 ,其 中 存储 转发 
交换 技术 又 可 分 为 报 文 交换 和 分 组 交换 。 

1. 电路 交换 

电路 交换 首先 要 求 在 通信 双方 之 间 建 立 连 接 通 道 。 在 连接 建立 成 功 之 后 ,双方 的 通信 
活动 才能 开始 。 通 信 双 方 需要 传递 的 信息 都 是 通过 已 经 建立 好 的 连接 进行 的 ,并 且 这 个 连 
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接 也 将 一 直 维 持 到 双方 的 通信 结束 。 在 某 次 通信 活动 的 整个 过 程 中 ,该 连接 将 始终 占用 连 
接 建 立 开 始 时 通信 系统 分 配给 它 的 资源 。 电 路 交换 往往 基于 电话 网 进行 。 

电路 交换 的 优点 有 : 数据 传输 可 靠 . 迅 速 、 延 迟 小 有 序 , 能 实现 透明 传输 。 

电路 交换 的 缺点 有 : 带宽 固定 ,网 络 资源 利用 率 低 , 浪 费 严 重 ,初始 连接 建立 慢 。 由 于 
计算 机 数据 具有 突 发 性 ,所 以 电路 交换 不 适合 计算 机 网 络 。 

2. 报 文 交换 

以 报 文 为 单位 存储 转发 ,是 分 组 交换 的 前 身 。 它 采用 “存储 -转发 "方式 进行 传送 ,无 须 
事先 建立 线路 ,事后 更 无 须 拆除 。 报 文 交换 同样 不 适合 计算 机 网 络 。 

报 文 交 换 的 优点 有 : 多 路 复 用 ,网 络 资源 利用 率 高 ,消息 完整 。 

报 文 交换 的 缺点 有 : 延迟 大 ,实时 性 差 , 通 信和 不 可 靠 , 设 备 功能 较 复杂 。 

3. 分 组 交换 

以 分 组 为 单位 存储 转发 ,把 欲 发 送 的 报 文 分 成 一 个 个 “分 组 ”在 网 络 中 传送 。 分 组 交换 
适用 于 计算 机 网 络 ,在 实际 应 用 中 有 两 种 类 型 : 虚 电 路 方式 和 数据 报 方式 。 

虚 电 路 是 分 组 交换 的 两 种 传输 方式 中 的 一 种 。 在 通信 和 网 络 中 , 虚 电路 是 由 分 组 交换 
通信 提供 的 面向 连接 的 通信 服务 。 在 两 个 结 点 或 应 用 进程 之 间 建 立 起 一 个 多 辑 上 的 连接 或 
虚 电 路 后 ,就 可 以 在 两 个 结 点 之 间 依 次 发 送 每 一 个 分 组 ,接收 端 收 到 分 组 的 顺序 必然 与 发 送 
端的 发 送 顺 序 一 致 ,因此 接收 端 无 须 负责 在 接收 分 组 后 重新 进行 排序 。 

采用 数据 报 方式 传输 时 ,被 传输 的 分 组 称 为 数据 报 , 数 据 报 的 前 部 增加 地 址 信息 的 字 
段 , 网 络 中 的 各 个 中 间 结 点 根据 地 址 信息 和 一 定 的 路 由 规则 选择 输出 端口 , 暂 存 和 排队 ,并 
在 传输 媒体 空闲 时 发 往 媒体 乃至 最 终 站 点 。 

当 一 对 站 点 之 间 需 要 传输 多 个 数据 报时 ,由 于 每 个 数据 报 均 被 独立 地 传输 和 路 由 ,因此 
在 网 络 中 可 能 会 走 不 同 的 路 径 , 具 有 不 同 的 时 间 延 迟 . 按 序 发 送 的 多 个 数据 报 可 能 以 不 同 的 
顺序 达到 终点 。 因 此 ,为 了 支持 数据 报 的 传输 ,站 点 必须 具有 存储 和 重新 排序 的 能 力 。 

分 组 交换 的 优点 有 : 数据 传输 可 靠 ,迅速 ,线路 利用 率 高 。 

因为 分 组 是 逐个 传输 ,可 以 使 后 一 个 分 组 的 存储 操作 与 前 一 个 分 组 的 转发 操作 并 行 , 采 
用 流水 线 式 传输 方式 减少 了 报 文 的 传输 时 间 。 另 外 ,传输 一 个 分 组 所 需 的 缓冲 区 比 传输 一 
份 报 文 所 需 的 缓冲 区 小 得 多 ,这 样 因 缓冲 区 不 足 而 等 待 发 送 的 概率 及 等 待 时 间 也 必然 少 
得 多 。 

分 组 转发 的 缺点 有 : 仍 存在 存储 转发 时 延 , 结 点 交换 机 必须 具有 更 强 的 处 理 能 力 。 

分 组 交换 与 报 文 交换 一 样 , 每 个 分 组 都 要 加 上 源 、 目 的 地 址 和 分 组 编号 等 信息 ,一 定 程 
度 上 降低 了 通信 效率 ,增加 了 处 理 时 间 ,使 控制 复杂 ,增加 了 时 延 。 当 分 组 交换 采用 数据 报 
服务 时 ,可 能 出 现 失 序 、 丢 失 或 重复 分 组 的 情况 。 分 组 到 达 目 的 结 点 时 ,要 对 分 组 进行 按 编 
号 排序 等 工作 。 如 采用 虚 电路 服务 , 虽 无 失 序 问题 ,但 有 呼叫 建立 数据 传输 和 虚 电 路 释放 
3 个 过 程 。 

总 之 , 若 要 传送 的 数据 量 很 大 , 且 传送 时 间 远 大 于 呼叫 时 间 , 则 采用 电路 交换 较为 合适 ， 
当 端 到 端的 通路 有 很 多 段 的 链 路 组 成 时 ,采用 分 组 交换 传送 数据 较为 合适 。 从 提高 整个 网 
络 的 信道 利用 率 看 , 报 文 交 换 和 分 组 交换 优 于 电路 交换 ,其 中 分 组 交换 比 报 文 交换 的 时 延 
小 ,尤其 适合 计算 机 之 间 的 突 发 式 的 数据 通信 。 
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1.3.2 计算 机 网 络 性 能 指标 


计算 机 网 络 性 能 指标 主要 表现 在 速率 带宽 ,吞吐 量 、 时 延 , 往 返 时 间 (RTT) 及 利用 率 等 。 

(1) 速率 : 数据 的 传送 速率 ,也 称 为 数据 率 或 比特 率 ,单位 为 bit/s(b/s),bit 中 文 名 为 
比特 ,数据 量 的 单位 ,一 个 比特 是 一 个 二 进 制 数字 0 或 者 1 。 

(2) 带宽 : 某 个 信号 具有 的 频带 宽度 。 在 计算 机 网 络 中 ,带宽 指 网 络 的 通信 线路 传送 
数据 的 能 力 (单位 时 间 内 从 网 络 中 的 某 一 个 点 到 另外 一 个 点 所 能 通过 的 “最 高 数据 率 ”, 带 宽 
的 单位 为 b/s)。 

(3) dri i: 单位 时 间 内 通过 某 个 网 络 的 数据 量 。 

CA). 时 延 : 数据 从 网 络 的 一 端 发 送 数据 帧 到 另 一 端 所 需要 的 时 间 。 数 据 帧 就 是 数据 链 
路 层 的 协议 数据 单元 ,包括 3 部 分 : 帧 头 、 数 据 部 分 、 帧 尾 。 其 中 , 帧 关 和 帧 尾 包含 一 些 必要 
的 控制 信息 ,如 同步 信息 、 地 址 信息 ,差错 控制 信息 等 ;数据 部 分 包含 网 络 层 传 下 来 的 数据 ， 
如 IP 数据 包 。 

时 延 由 发 送 时 延 , 传 播 时 延 、 处 理 时 延 以 及 排队 时 延 组 成 。 

发 送 时 延 : 主机 或 者 路 由 器 发 送 数据 帧 所 需要 的 时 间 。 发 送 时 延 的 计算 公式 为 : 发 送 
时 延 三 数据 帧 长 度 /发 送 速 率 。 

传播 时 延 : 电磁 波 在 信道 中 传播 一 定 的 距离 需要 花费 的 时 间 。 传 播 时 延 的 计算 公式 
为 : 传播 时 延 二 信道 长 度 / 电 磁 波 在 信道 上 的 传播 速率 。 

处 理 时 延 : 主机 或 路 由 器 接收 到 分 组 时 对 分 组 进行 处 理 所 花费 的 时 间 。 

排队 时 延 : 分 组 在 网 络 传输 时 ,进入 路 由 器 后 要 在 输入 队列 中 排队 等 待 处 理 。 另 外 ,路 
由 器 在 确定 转发 端口 后 ,还 需要 在 输出 队列 中 排队 等 待 转 发 。 这 些 都 是 排队 时 延 。 

(5) 往返 时 间 : 表示 从 发 送 方 发 送 数据 开始 ,到 发 送 方 收 到 来 自 接收 方 的 确认 ,整个 过 
程 一 共 经 历 的 时 间 。 

(6) 利用 率 : 分 为 信道 利用 率 和 网 络 利 用 率 。 信 道 利 用 率 指 某 信道 有 百 分 之 几 的 时 间 
是 被 利用 的 , 即 有 数据 通过 。 网 络 利用 率 指 全 网 络 的 信道 利用 率 的 加 权 平 均值 。 信 道 或 网 
络 利用 率 并 非 越 高 越 好 ,过 高 的 利用 率 会 产生 非常 大 的 时 延 。 


1.4 常见 的 网 络 拓扑 结构 


常见 的 网 络 拓扑 结构 有 总 线 型 环形 、 星 形 、 树 形 以 及 网 状 形 等 。 
1.4.1 总 线 型 


总 线 型 结构 是 使 用 同一 媒体 或 电缆 连接 所 有 端 用 户 的 一 种 方式 ,连接 端 用 户 的 物理 媒体 
由 所 有 设备 共享 ,各 工作 站 地 位 平等 ,无 中 央 结 点 控制 。 数 据 信息 以 广播 的 形式 进行 传播 。 各 
结 点 在 接收 信息 时 都 进行 地 址 检查 ,看 是 否 与 自己 的 工作 站 地 址 相符 , 若 相符 , 则 接收 。 

总 线 型 结构 必须 解决 的 问题 是 确保 端 用 户 使 用 媒体 发 送 数据 时 不 会 出 现 冲突 。 它 是 通 
过 载波 监听 多 路 访问 /冲突 检测 (CSMA/CD) 解 决 碰撞 问题 的 。 

在 总 线 型 结构 的 网 络 中 ,在 总 线 的 两 端 连 接 有 终结 器 (电阻 ), 作 用 是 与 总 线 进行 阻抗 匹 
配 ,最 大 限度 吸收 传送 到 端 部 的 能 量 ,避免 信号 反射 回 总 线 而 产生 不 必要 的 干扰 。 总 线 型 结 
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构 如 图 1.1 所 示 。 


PC-PT PC-PT| 
PCI PC2 


终结 器 终结 器 
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PC3 PC4 PCS 


ll 总 线 型 结构 


1.4.2 环形 


环形 结构 在 LAN 中 使 用 较 多 。 该 结构 中 的 传输 媒体 从 一 个 端 用 户 到 另 一 个 端 用 户 ， 
直到 所 有 的 端 用 户 连 成 环形 。 数 据 在 环 路 中 沿 着 一 个 方向 在 各 个 结 点 间 传 输 ,信息 从 一 个 


结 点 传送 到 另 一 个 结 点 。 环 形 结构 如 图 1. 2 所 示 。 
令 牌 环 传递 是 环形 网 络 上 传送 数据 的 一 种 方法 。 令 牌 传递 过 程 中 ,一 个 3 字 节 的 称 为 
令 牌 的 数据 包 绕 环 从 一 个 结 点 发 送 到 另 一 个 结 点 。 如 果 环 上 的 一 台 计 算 机 需要 发 送信 息 ， 


它 将 截取 令 牌 数据 包 ,加 上 控制 和 数据 信息 以 及 目标 结 点 的 地 址 ,将 令 牌 转变 成 一 个 数据 
帧 ,然后 该 计算 机 将 该 令 牌 继续 传递 至 下 一 个 结 点 。 只 有 获得 令 牌 的 结 点 , 才 可 以 发 送信 
息 ,确保 同一 时 间 点 只 有 一 个 结 点 发 送 数据 ,避免 了 冲突 的 发 生 。 

环形 拓扑 的 缺点 是 单个 站 的 故障 将 影响 整个 网 络 , 使 整个 网 络 发 生 瘫痪 。 


2960-24TT 
Switch0 


图 1.2 环形 结构 Eis 星 形 结构 


1.4.3 星 形 


星 形 结构 是 指 各 工作 站 以 星 形 方式 连接 成 网 。 网 络 中 有 中 央 结 点 ,便于 集中 控制 , 端 用 
户 之 间 的 通信 必须 经 过 中 央 结 点 。 星 形 结构 如 图 1.3 所 示 。 
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星 形 拓扑 的 优点 表现 在 , 端 设备 故障 不 会 影响 其 他 端 用 户 间 的 通信 。 另 外 ,该 拓扑 结构 
的 网 络 延迟 较 小 ,系统 可 靠 性 较 高 。 其 缺点 主要 表现 在 中 央 结 点 故障 将 导致 整个 网 络 瘫痪 。 


1.4.4 树 形 


树 形 拓扑 可 以 认为 是 由 多 级 星 形 结构 组 成 ,这 种 多 级 星 形 结构 自 上 而 下 呈 三 角 分 布 ,就 
像 一 棵 树 一 样 ,最 顶端 的 枝叶 少 , 中 间 多 ,最 下 端 最 多 。 树 的 最 下 端 相当 于 网 络 的 接 人 层 , 树 
的 中 间 部 分 相当 于 网 络 的 汇聚 层 , 树 的 最 顶端 相关 于 网 络 的 核心 层 。 树 形 结构 如 图 1. 4 
所 示 。 
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图 1.4 树 形 结构 


树 形 拓扑 结构 的 优点 有 : 

(1) 易 扩 展 。 可 以 延伸 出 很 多 分 支 和 子 分 支 ,并 且 很 容易 连 人 网 络 。 

(2) 故障 隔离 较 容易 。 若 某 一 分 支 的 结 点 或 线路 发 生 故 障 ,很 容易 将 故障 分 支 与 整个 
网 络 隔离 开 。 

树 形 拓扑 的 缺点 有 : 各 个 结 点 对 根 的 依赖 性 太 大 ,如 果 根 发 生 故障 ,会 影响 整个 网 络 的 
正常 工作 。 


1.4.5 网 状 形 


网 状 形 拓 扑 结构 在 广域网 中 得 到 广泛 应 用 , 结 点 之 间 有 多 条 路 径 相 连 。 数 据 流 的 传输 
有 多 条 路 径 供 选择 ,在 数据 流传 输 过 程 中 选择 适当 的 路 由 ,从 而 绕 过 失效 的 或 繁忙 的 结 点 。 

结构 比较 复杂 ,成 本 较 高 ,网 络 协议 也 较 复 杂 , 但 可 靠 性 较 高 。 网 状 形 结构 如 图 1. 5 
所 示 。 

网 状 拓扑 的 优点 有 : 结 点 间 路 径 多 ,碰撞 和 阻塞 发 生 概率 小 ; 局 部 故障 不 影响 整个 网 
络 ,可 靠 性 高 。 

网 状 拓扑 的 缺点 有 : 网 络 关系 复杂 , 建 网 较 难 ;网 络 控制 机 制 复杂 , 需 采 用 复杂 的 路 由 
算法 和 流量 控制 机 制 。 
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图 1.5 网 状 形 结构 


1.5 计算 机 网 络 体系 结构 


1.5.1 OSI 参考 模型 


OSICOpen System Interconnect) 即 开放 系统 互联 。OSI 参考 模型 是 ISO( 国 际 标准 化 
组 织 ) 在 1985 年 提出 的 网 络 体系 结构 参考 模型 。 该 体系 结构 将 网 
络 互联 定义 为 7 层 架构 ,层次 结构 从 下 到 上 分 别 为 : 物理 层 、 数 据 链 
路 层 、 网 络 层 、. 运 输 层 (或 传输 层 )、 会 话 层 ,表示 层 和 应 用 层 , 如 图 1. 6 
所 示 。 

1. 物理 层 

物理 层 处 于 OSI 参考 模型 的 最 底层 ,主要 定义 物理 设备 标准 ， 
如 网 线 的 端口 类 型 、. 光 纤 的 端口 类 型 。 它 的 主要 作用 是 传输 比特 
流 。 这 一 层 的 数据 单元 称 为 比特 。 

2. 数据 链 路 层 

数据 链 路 层 为 网 络 层 提供 服务 ,主要 任务 是 将 从 网 络 层 接收 到 
图 1.6 OSI 参考 模型 ”的 数据 进行 MAC 地 址 (网 卡 的 地 址 ) 的 封装 与 解 封 装 。 实 现 这 一 层 
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功能 常见 的 设备 是 交换 机 和 网 络 适 配器 (简称 网 卡 ) ,该 层 传输 的 数据 单元 称 为 数据 帧 。 数 
据 帧 中 包含 物理 地 址 、 控 制 码 .数据 及 校 验 码 等 信息 。 该 层 的 主要 作用 是 通过 校 验 、 确 认 和 
重 传 等 手段 ,将 不 可 靠 的 物理 链 路 转换 成 对 网 络 层 来 说 无 差错 的 数据 链 路 。OSI 观点 是 将 
数据 链 路 层 做 成 可 靠 传输 。 增 加 了 帧 编号 、 确 认 和 重 传 机 制 。 由 于 通信 链 路 质量 引起 差错 
的 概率 大 大 降低 ,因此 因特网 使 用 的 数据 链 路 层 协议 不 使 用 确认 和 重 传 机 制 , 不 提供 可 靠 传 


输 服务 。 出 现 差错 改正 差错 的 任务 由 传输 层 完成 ,这 样 做 可 以 提高 通信 效率 。 
此 外 ,数据 链 路 层 还 要 协调 收发 双方 的 数据 传输 速率 , 即 进行 流量 控制 ,以 防止 接收 方 
因 来 不 及 处 理发 送 方 发 来 的 高 速 数据 而 导致 缓冲 区 溢出 及 线路 阻塞 。 


3. 网 络 层 


网 络 层 是 为 运输 层 提 供 服务 ,传送 的 协议 数据 单元 称 为 数据 包 或 分 组 。 该 层 的 主要 作 
用 是 解决 如 何 使 数据 包 通 过 结 点 传送 的 问题 , 即 通过 路 径 选 择 算法 将 数据 包 送 到 目的 地 。 
另外 ,为 避免 通信 子 网 中 出 现 过 多 的 数据 包 而 造成 网 络 阻塞 ,需要 对 流入 的 数据 包 数 量 进行 
控制 。 当 数据 包 要 跨越 多 个 通信 子 网 才能 到 达 目 的 地 时 ,还 要 解决 网 络 互联 的 问题 。 


4. 运输 层 


运输 层 的 作用 是 为 上 层 协议 提供 端 到 端的 可 靠 和 透明 的 数据 传输 服务 ,包括 处 理 差错 
和 流量 控制 等 问题 。 该 层 向 高 层 屏 项 了 下 层 数 据 通信 的 细节 ,使 高 层 用 户 看 到 的 只 是 两 个 
传输 实体 间 的 一 条 主机 到 主机 的 、 可 由 用 户 控 制 和 设 定 的 、 可 靠 的 数据 通路 。 


运输 层 传送 的 协议 数据 单元 称 为 段 或 报 文 。 
5. 会 话 层 


会 话 层 的 主要 功能 是 管理 和 协调 不 同 主机 上 各 种 进程 之 间 的 通信 , 即 负责 


建立 ,管理 和 


终止 应 用 程序 之 间 的 会 话 。 会 话 层 得 名 的 原因 是 它 很 类 似 两 个 实体 间 的 会 话 概念 。 


6. 表示 层 


表示 层 主 要 用 于 处 理 两 个 通信 系统 中 交换 信息 的 表示 方式 ,为 上 层 用 户 解 决 用 户 信 息 
的 语法 问题 。 它 包括 数据 格式 交换 ,数据 加 密 与 解密 、 数 据 压缩 与 终端 类 型 的 转换 。 


7. 应 用 层 

应 用 层 是 OSI 中 的 最 高 层 。 该 层 确定 进程 之 间 通 信 的 性 
质 ,以 满足 用 户 的 需要 。 应 用 层 不 仅 提供 应 用 进程 所 需要 的 
信息 交换 和 远程 操作 ,而 且 还 要 作为 应 用 进程 的 用 户 代理 , 完 
成 一 些 为 进行 信息 交换 所 必需 的 功能 。 


1.5.2 TCP/IP 体系 结构 


TCP/IP 参考 模型 如 图 1.7 所 示 。 

1. 网 络 接口 层 

网 络 接口 层 是 TCP/IP 体系 结构 的 最 底层 ,负责 处 理 与 传 
输 介质 相关 的 细节 ,用 于 接收 上 层 TP 数据 报 并 通过 网 络 发 送 ， 
或 者 从 网 络 上 接收 物理 帧 ,取出 IP 数据 报 , 交 给 上 层 网 络 层 
IP ED. 

网 络 接口 层 有 关 的 网 络 类 型 有 以 太 网 `.FDDI、 令 牌 环 、 令 
HARK. 25、 帧 中 继 以 及 ATM 等 。 常 见 的 协议 有 串 行 线路 


用 层 


(各 种 应 用 层 协议 ， 如 
DNS、HTTP、SMTP 等 ) 


EN 
NL 


网 络 接口 层 
(这 一 层 并 没有 具体 内 容 ) 


17 TCP/IP 参考 模型 
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网 际 协议 (Serial Line Internet Protocol, SLIP) .高 级 数据 链 路 控制 规程 (High Level Data 
Link Control,HDLC) 以 及 点 对 点 协议 (Point-to-Point Protocol,PPP) 等 。 

2. 网 际 层 

网 际 层 是 整个 体系 结构 的 关键 部 分 ,负责 提供 端 到 端 通信 ,使 主机 可 以 把 分 组 发 送 给 任 
何 网 络 ,并 使 分 组 独立 地 传 向 目标 。 分 组 可 能 经 由 不 同 的 网 络 ,不同 的 顺序 到 达 。 网 际 层 的 
主要 协议 为 网 际 互联 协议 (Internet Protocol,IP) 。 

3. 运输 层 

运输 层 使 源 端 和 目的 端 机 器 上 的 对 等 实体 进行 会 话 。 

主要 协议 : 传输 控制 协议 (Transmission Control Protocol,TCP) 以 及 用 户 数据 报 协议 
(User Datagram Protocol, UDP), TCP 是 面向 连接 的 协议 ,提供 可 靠 的 报 文 传输 和 对 上 层 
应 用 的 连接 服务 。 因 此 ,除了 基本 的 数据 传输 外 , 它 还 有 可 靠 性 保证 、 流 量 控 制 、 多 路 复 用 、 
优先 权 和 安全 性 控制 等 功能 。UDP 是 面向 无 连接 的 不 可 靠 传输 协议 ,主要 用 于 不 需要 
TCP 的 排序 和 流量 控制 等 功能 的 应 用 程序 。 

4. 应 用 层 

应 用 层 向 用 户 提供 常用 的 应 用 程序 ,如 电子 邮件 、 文 件 传 输 协 议 、 远 程 登 录 、 域 名 服务 、 
超 文 本 传输 协议 等 。 


1.5.3 两 种 体系 结构 的 关系 


OSI 参考 模型 只 获得 一 些 理论 研究 成 果 , 并 没有 得 到 市 场 的 认可 ,在 市 场 化 方面 失败 
了 ,而 非 国际 标准 的 TCP/IP 体系 结构 却 获 得 了 最 广泛 的 应 用 , 常 被 称 为 事实 上 的 国际 
标准 。 

如 图 1. 8 所 示 ,两 类 体系 结构 的 对 应 关系 为 : OSI 参考 模型 的 物理 层 和 数据 链 路 层 对 
应 TCP/IP 体系 结构 的 网 络 接口 层 ,OSI 参考 模型 的 网 络 层 对 应 TCP/IP 体系 结构 的 网 际 
层 ,OSI 参考 模型 的 运输 层 对 应 TCP/IP 体系 结构 的 运输 层 ,OSI 参考 模型 的 应 用 层 、 表 示 
层 以 及 会 话 层 对 应 TCP/IP 体系 结构 的 应 用 层 。 


应 用 层 


(各 种 应 用 层 协议 ， 如 
DNS、HTTP、SMTP 等 ) 


运输 层 (TCP 或 UDP) 


网 络 接口 层 
(这 一 层 并 没有 具体 内 容 ) 


图 1.8 两 种 参考 模型 的 关系 
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1.5.4 各 层 对 应 常见 的 网 络 设备 


TCP/IP 体系 结构 的 网 络 接口 层 对 应 OSI 物理 层 及 数据 链 路 层 。 物 理 层 常 见 的 网 络 设 
备 有 集线器 (HUB) ,通过 集线器 互联 的 局 域 网 ,理论 上 讲 仍然 属于 总 线 型 结构 ,属于 共享 介 
质 传输 ,需要 通过 CDMA/CD 协议 解决 冲突 问题 。 目 前 ,集线器 基本 被 市 场 淘汰 ,网 络 互联 
时 很 少 使 用 集线器 。 

数据 链 路 层 常 见 的 网 络 设备 有 网 桥 (bridge) 、 网 卡 、 交 换 机 (switch) 等 。 其 中 ,网 桥 已 被 
市 场 淘汰 ,取而代之 的 是 交换 机 。 网 卡 用 于 终端 计算 机 联网 时 的 必 备 设备 。 仅 使 用 交换 机 
进行 互联 的 网 络 , 网 络 互联 部 分 只 工作 到 数据 链 路 层 , 处 理 的 协议 数据 单元 为 帧 。 工 作 
在 数据 链 路 层 的 设备 不 仅 具 有 数据 链 路 层 的 功能 ,同时 也 具有 物理 层 的 功能 ,具有 向 下 
兼容 性 。 

网 络 层 常见 的 设备 有 路 由 器 和 三 层 交 换 机 。 该 层 主要 处 理 的 协议 数据 单元 为 IP 数据 
报 ,主要 针对 IP 数据 报 进行 转发 。 路 由 器 在 转发 分 组 时 最 高 只 工作 到 网 际 层 , 而 不 涉及 运 
输 层 和 应 用 层 。 特 别 说 明 的 是 ,工作 于 网 络 层 的 设备 同时 具有 数据 链 路 层 和 物理 层 的 功能 。 

应 用 层 和 和 运输 层 这 两 个 高 层 协议 数据 单元 通常 由 终端 主机 处 理 。 也 就 是 说 ,终端 主机 
具有 TCP/IP 四 层 的 全 部 功能 。 

主机 和 路 由 器 工作 的 层次 关系 如 图 1. 9 所 示 。 


主机 1 主机 2 


图 1.9 主机 和 路 由 器 工作 的 层次 关系 


1.6 IP 地 址 


1.6.1 IP 地 址 简介 


IP 地 址 指 互联 网 协议 地 址 (Internet protocol address) ,又 称 网 际 协议 地 址 。IP 地 址 是 
IP 协议 提供 的 一 种 统一 的 地 址 格式 ,是 为 互联 网 上 每 一 台 主机 分 配 的 逻辑 地 址 。 

目前 IP 地 址 的 版 本 有 IPv4 和 IPv6,IPv4 由 32 位 二 进 制 数组 成 ,通常 被 划分 为 4 个 
8 位 二 进 制 数 。 为 了 便于 书写 ,IPv4 通常 用 点 分 十 进 制 数 表示 成 a. b. c. d 的 形式 ,其 中 ,a， 
b.c.d 4E 0— 255 的 十 进 制 整数 。 如 IP 地 址 192. 168. 1. 1, 实 际 上 是 32 位 二 进 制 数 
11000000 10101000 00000001 00000001。 理 论 上 讲 ,IPv4 地 址 的 总 数量 为 2” =4 294 967 296 
个 ,从 当时 TP 地 址 诞生 时 的 现状 看 ,这 么 庞大 的 地 址 数量 很 难 耗 尽 。 
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IPv6 由 128 位 二 进 制 数 组 成 ,通常 写成 8 组 ,每 组 为 4 个 十 六 进 制 数 形式 。 理 论 上 讲 ， 
IPv6 地 址 数量 为 2 ,其 数量 是 IPv4 地 址 的 28 倍 。 可 以 说 ,IPv6 地 址 数量 相当 庞大 。 如 果 
地 球 表面 都 覆盖 计算 机 ,那么 IPv6 允许 每 平方 米 拥 有 7X10” 个 TP 地 址 ;如 果 地 址 分 配 的 
速率 是 每 微 秒 100 万 个 ,那么 108 年 才能 将 所 有 地 址 分 配 完 。 

TP 地 址 编 址 方法 共 经 历 了 3 个 历史 阶段 。 

第 一 个 阶段 : 分 类 的 IP 地 址 。 这 是 最 基本 的 编制 方法 ,在 1981 年 就 制定 了 相应 的 标准 。 

第 二 个 阶段 : 子 网 的 划分 。 这 是 对 最 基本 编 址 方法 的 改进 ,其 标准 RFC 950 在 1985 年 
通过 。 

第 三 个 阶段 : 构成 超 网 。 这 是 比较 新 的 无 分 类 编 址 方法 。1993 年 提出 后 很 快 就 得 到 
推广 应 用 。 


1.6.2 分 类 的 IP 地 址 


整个 互联 网 (Internet) 可 以 被 看 成 是 一 个 单一 的 、 抽 象 的 网 络 ,IP 地 址 就 是 给 每 个 连接 
在 互联 网 上 主机 的 网 络 端口 (或 者 路 由 器 端口 ) 分 配 在 全 世界 范围 内 唯一 的 32 位 标识 符 。 

在 IP 地 址 编 址 的 第 一 个 阶段 ,将 TP 地 址 划分 为 若干 个 固定 类 ,每 一 类 地 址 都 由 两 个 固 
定 长 度 的 字段 组 成 ,其 中 一 个 字段 是 网 络 号 , 它 标 志 主 机 (或 路 由 器 ) 连 接 到 的 网 络 ,而 另 一 
个 字段 是 主机 号 , 它 标志 该 主机 (或 路 由 器 ) 。 

可 见 ,网 络 号 在 全 世界 范围 内 是 唯一 的 ,同时 ,在 同一 个 网 络 号 所 指明 的 网 络 范围 内 主 
机 号 也 必须 是 唯一 的 。 由 此 可 见 ,一 个 IP 地 址 在 整个 互联 网 范围 内 是 唯一 的 。 

分 类 的 IP 地 址 将 IP 地 址 划分 为 A.B.C.D.E 5 类 ,具体 的 划分 方法 如 图 1. 10 所 示 。 

A 类 地 址 |01 


-一 网 络 位 一 = 一 主机 位 - 
8 位 24 位 


B 类 地 址 | 10! | 
一 网 络 位 一 一 主机 位 一 


C 类 地 址 [ 110 T ] 


D 类 地 址 [1110 | 多 播 地 址 ] 


E 类 地 址 | 1111 s 保留 为 今后 使 用 


图 1. 10 分 类 的 IP 地 址 


1. A 类 IP 地址 

A 类 IPv4 地 址 网 络 位 占 一 个 字 节 , 即 8 位 ,主机 位 占 3 个 字 节 , 即 24 位 。 由 于 该 类 地 
址 主机 位 占 的 位 数 多 ,所 以 一 个 A 类 网 络 可 分 配 的 主机 数 比 较 多 ,因此 A 类 网 络 适合 网 络 
规模 比较 大 的 网 络 。 

2. B 类 IP 地 址 

相对 于 A 类 IPv4 地 址 针对 大 型 网 络 设计 而 言 .B 类 IPv4 地 址 是 针对 中 型 网 络 而 设计 
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的 。 其 网 络 位 和 主机 位 均 占有 两 个 字 节 的 位 数 。 

3. C% IP 地 址 

前 面 的 A 类 和 B 类 IPv4 地 址 分 别针 对 大 型 网 络 和 中 型 网 络 而 设计 ,C 类 IPv4 地 址 则 针 
对 小 型 网 络 而 设计 。C 类 IPv4 地 址 网 络 位 占 3 个 字 节 , 即 24 位 ,主机 位 占 1 个 字 节 , 即 8 位 。 
可 见 ,C 类 IPv4 地 址 可 分 配 的 网 络 数 是 最 多 的 ,但 每 个 C 类 网 络 可 分 配 的 主机 数 是 最 少 的 。 

4. D 类 IP 地 址 

D 类 地 址 用 于 多 播 , 它 不 指向 特定 的 网 络 ,用 来 一 次 寻 址 一 组 计算 机 。 

5. E 3 IP tit 

E X eht fi Fr O8 Ji 8H o 

当初 将 TP 地 址 如 此 分 配 ,也 是 考虑 到 不 同 网 络 规模 对 TP 地 址 的 需求 是 不 同 的 。 这 里 
要 特别 注意 ,普遍 认为 的 TP 地 址 分 配 , 其 本 质 并 不 是 指 分 配 具体 的 TP 地 址 ,而 分 配 的 是 网 
络 地 址 。 获 得 网 络 地址 的 单位 ,实际 上 就 获得 了 整个 网 络 内 的 所 有 可 以 分 配 的 TP 地 址 。 
此 将 IP 地 址 按照 网 络 规模 大 小 划分 为 A、B、C 类 ,这 样 的 划分 是 符合 当时 历史 现状 的 。 如 
果 大 型 规模 的 网 络 需要 申请 IP 地 址 , 则 分 配 一 个 A 类 网 络 地 址 。 如 果 中 等 规模 的 网 络 需 
要 申请 IP 地 址 , 则 分 配 一 个 了 B 类 网 络 地 址 。 如 果 小 型 规模 的 网 络 需要 申请 IP 地 址 , 则 分 配 
一 个 C 类 网 络 地 址 。 这 样 就 从 一 定 程 度 上 避免 了 IP 地 址 的 浪费 问题 。 


1.6.3. 了 于 网 划分 


由 于 互联 网 刚 诞生 时 规模 较 小 ,人 们 对 网 络 地 址 的 需求 量 不 是 很 大 ,因此 分 类 的 IP 地 
址 在 当时 的 历史 状况 下 能 够 满足 需要 。 

但 是 , 随 着 互联 网 规模 的 不 断 扩 大 ,人 们 对 网 络 地 址 需求 量 也 在 不 断 增加 ,分 类 的 IP 地 
址 的 缺陷 也 暴露 了 出 来 。 

首先 ,IP 地 址 浪费 现象 严重 。 一 个 A 类 网 络 可 分 配 的 TP 地 址 数 的 数量 级 别 达 到 千 万 。 
很 少 有 单位 能 够 分 配 完 这 个 数量 级 别 的 IP 地 址 。 即 使 是 B 类 网 络 ,每 个 B 类 网 络 可 分 配 
的 IP 地址 数 的 数量 级 别 也 要 达到 6 万 多 ,有 这 么 大 地 址 需求 的 单位 也 很 少 。 因 此 ,分 配 到 
A 类 和 PB 类 网 络 的 单位 ,基本 会 浪费 大 量 的 IP 地址 。 这 样 分 配 IP 地 址 导致 的 后 果 是 ,网 络 
地 址 被 分 配 出 去 的 越 来 越 多 , 剩 下 的 越 来 越 少 ,很 多 单位 已 经 很 难 再 申请 到 网 络 地 址 。 而 获 
得 网 络 地 址 的 单位 有 大 量 的 IP 地 址 没有 使 用 ,造成 大 量 的 浪费 ,而 这 些 浪 费 的 IP 地址 也 没 
有 办 法 分 配给 别 的 单位 使 用 。 其 次 A 类 、B 类 网 络 的 主机 在 一 个 广播 域内 ,如 此 大 规模 的 
网 络 在 一 个 广播 域内 ,必定 造成 网 络 性 能 大 幅 下 降 。 最 后 按照 这 种 方法 分 类 的 IP 地 址 ,其 
网 络 安 全 性 差 ,安全 策略 设置 不 灵活 。 

在 这 样 的 历史 背景 下 出 现 了 IP 编 址 方案 的 第 二 个 阶段 , 即 子 网 划分 。 

从 1985 年 起 ,在 IP 地 址 中 又 增加 了 一 个 子 网 号 字段 ,将 IP 地 址 从 两 级 结构 设计 成 三 
级 结构 。 划 分 子 网 是 从 主机 位 借用 若干 位 作为 子 网 位 ,相应 地 主机 位 也 就 减少 相同 的 位 数 。 

划分 子 网 的 优点 主要 表现 在 以 下 方面 : 减少 了 IP 地 址 的 浪费 ; @ 使 网 络 的 组 织 更 加 
灵活 ; 加 更 便于 维护 和 管理 ; 田 减 少 广播 报 文 的 影响 ,优化 网 络 性 能 ; @ 提 高 网 络 安全 性 ， 
增加 安全 策略 设置 的 灵活 性 。 

这 样 , 仅 从 一 个 TP 数据 报 的 首部 并 不 能 判断 源 主机 或 目的 主机 所 连接 的 网 络 是 否 进行 
了 子 网 划分 。 此 时 需要 使 用 子 网 掩 码 帮 助 找 出 TP 地 址 中 的 子 网 部 分 。 子 网 掩 码 和 IP 地 址 
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一 样 同样 由 32 位 二 进 制 数组 成 , 它 和 IP 地址 是 一 一 对 应 的 关系 。 子 网 掩 码 由 连续 的 1 和 
连续 的 0 组 成 。 子 网 掩 码 与 IP 地 址 一 一 对 应 。 子 网 掩 码 1 对 应 的 TP 地 址 部 分 为 网 络 号 和 
子 网 号 , 子 网 掩 码 中 0 对 应 的 IP 地 址 部 分 为 主机 号 。 

因此 ,在 配置 网 络 参 数 时 ,不 但 要 配置 IP 地 址 ,还 要 配置 相应 的 子 网 掩 码 。 两 者 配合 起 
来 使 用 ,才能 真正 决定 该 IP 地 址 的 网 络 位 . 子 网 位 以 及 主机 位 。 

如 IP 地 址 为 172. 16. 1. 1, 如 果 没 有 明确 子 网 掩 码 , 在 传统 的 分 类 TP 地 址 中 , 它 属 于 
B 类 地 址 ,根据 B 类 地 址 前 两 个 8 位 为 网 络 位 ,后 两 个 8 位 为 主机 位 ,可 以 得 出 它 的 网 络 位 
为 172. 16 ,主机 位 为 1. 1。 但 在 划分 子 网 的 TP 地 址 中 , 仅 从 172. 16. 1. 1 并 不 能 看 出 哪 部 分 
是 子 网 位 ,此 时 需要 配置 相应 的 子 网 掩 码 。 如 果 它 的 子 网 掩 码 为 255. 255. 255. 0, 则 可 以 看 
出 子 网 位 为 第 3 个 8 位 ,也 就 是 1。 

划分 子 网 能 够 划分 出 更 多 的 网 络 地 址 分 配给 更 多 的 单位 使 用 ,使 IP 地 址 的 应 用 更 加 


1.6.4 无 分 类 编 址 CIDR 


划分 子 网 在 一 定 程度 上 缓解 了 互联 网 在 发 展 中 遇 到 的 难题 。 然 而 ,1992 年 ,互联 网 仍 
然 面临 3 个 必须 尽早 解决 的 问题 。 

(D B 类 地 址 在 1992 年 已 分 配 了 近 一 半 , 即 将 分 配 完毕 。 

(2) 互联 网 主干 网 上 的 路 由 表 中 的 项 目 数 急剧 增长 。 

(3) 整个 IPv4 地 址 空间 最 终 将 全 部 耗 尽 。 

1987 年 ,RFC1009 指明 了 在 一 个 划分 子 网 的 网 络 中 可 同时 使 用 几 个 不 同 的 子 网 掩 码 ， 
即 可 变 长 子 网 掩 码 (Variable Length Subnet Mask. VLSM)。 使 用 可 变 长 子 网 掩 码 可 进 一 
步 提高 IP 地 址 资源 利用 率 。 在 VLSM 的 基础 上 又 进一步 研究 出 无 分 类 编 址 方法 ,正式 名 
字 是 无 分 类 域 间 路 由 选择 (Classless Inter-Domain Routing,CIDR)。 

CIDR 消除 了 传统 的 A 类 、B 类 和 C 类 地 址 以 及 划分 子 网 的 概念 ,从 而 更 加 有 效 分 配 
IPv4 地 址 空间 。CIDR 使 用 各 种 长 度 的 网 络 前 级 代替 分 类 地 址 中 的 网 络 号 和 子 网 号 。IP 
地 址 从 三 级 编 址 又 回 到 了 两 级 编 址 。 


1.7 本 章 小 结 


本 章 主要 讲解 了 网 络 互联 与 实践 课程 相关 的 网 络 基 础 知识 ,首先 向 读者 介绍 了 计算 机 
网 络 发 展 过 程 、 目 前 广泛 使 用 的 互联 网 的 发 展 过 程 ,主要 讲解 了 计算 机 网 络 发 展 的 5 个 阶段 
以 及 互联 网 发 展 的 3 个 阶段 。 

接着 讲解 了 计算 机 网 络 的 定义 以 及 计算 机 网 络 的 分 类 ,分 析 了 交换 技术 及 网 络 的 性 能 
指标 ,从 覆盖 范围 角度 探讨 了 计算 机 网 络 的 分 类 ,讲解 了 计算 机 网 络 常见 的 电路 交换 、 报 文 
交换 以 及 分 组 交换 技术 。 之 后 分 别 从 速率 .带宽 吞吐 量 . 时 延 、 往 返 时 间 及 利用 率 分 析 了 计 
算 机 网 络 的 性 能 指标 。 

本 章 详 细 介绍 了 计算 机 网 络 常见 的 网 络 拓扑 结构 ,以 及 计算 机 网 络 的 体系 结构 ,包括 
OSI 及 TCP/IP 模型 。 讲 解 了 总 线 型 环形 、 星 形 、 树 形 以 及 网 状 形 等 常见 计算 机 网 络 拓扑 
结构 ,详细 分 析 了 各 拓扑 结构 的 特点 。 计 算 机 网 络 体系 结构 是 本 章 的 难点 ,理论 性 强 , 不 太 
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容易 理解 。 本 章 还 详细 分 析 了 OSI 参考 模型 以 及 TCP/IP 模型 ,具体 分 析 了 它们 的 层次 划 
分 及 每 一 层 的 功能 及 特点 ,同时 分 析 了 这 两 种 层次 模型 的 关系 。 

本 章 最 后 讲解 了 IPv4 地 址 的 编 址 方案 ,详细 介绍 了 IP 地 址 编 址 的 3 个 阶段 ,分 别 为 分 
类 的 IP 地 址 到 划分 子 网 ,再 到 无 分 类 编 址 方案 。 


1.8 习题 


l. 简 述 计算 机 网 络 的 发 展 过 程 。 

2. 简 述 互联 网 的 发 展 历史 。 

3. 什么 是 计算 机 网 络 ? 按照 网 络 的 覆盖 范围 可 将 计算 机 网 络 分 成 哪 几 类 ,每 一 类 的 特 
点 分 别 是 什么 ? 

A. 常见 的 数据 交换 技术 有 哪些 ? 请 分 别 谈 谈 它们 各 自 的 特点 。 

5. 计算 机 网 络 的 性 能 指标 有 哪些 ? 

6. 常见 的 网 络 拓扑 结构 有 哪些 ? 每 一 种 拓扑 结构 的 特点 是 什么 ? 

7. 分 别 谈 谈 OSI 参考 模型 每 一 层 的 具体 功能 。 

8. 分 别 谈 谈 TCP/IP 参考 模型 每 一 层 的 具体 功能 。 

9. IPv4 编 址 方案 经 历 了 哪 3 个 阶段 ? EKI A,B,C,D & E% IP 地 址 ? 
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本 章 学 习 目标 

。 了 解 常见 的 网 络 互联 设备 及 其 工作 层次 
。 掌握 集线器 、 交 换 机 及 路 由 器 相关 知识 
。 了 解 常见 的 网 络 互联 介质 

。 精通 双 绞 线 的 分 类 、 制 作 以 及 选择 

。 掌握 同 轴 电 缆 、 光 纤 的 分 类 及 特点 

。 了 解 常见 的 无 线 传输 介质 

。 熟悉 无 线 电波 、 微 波 以 及 红外 线 的 特点 


本 童 首先 介绍 常见 的 网 络 互联 设备 及 它们 工作 的 层次 ,讲解 集线器 的 工作 原理 。 在 网 
络 互联 设备 交换 机 中 ,主要 探讨 二 层 交 换 机 、 三 层 交 换 机 的 工作 原理 ,以 及 二 层 交 换 机 和 三 
层 交换 机 各 自 的 使 用 场合 ,同时 讲解 交换 机 的 启动 过 程 及 端口 分 类 。 接 着 介绍 路 由 器 的 工 
作 原 理 、 启 动 过 程 以 及 端口 类 型 ,分 析 交 换 机 和 路 由 器 的 区 别 。 

本 章 同 时 介绍 常见 的 网 络 互联 介质 ,包括 有 线 传输 介质 的 双 绞 线 、 同 轴 电 缆 、 光 纤 以 及 
无 线 传输 介质 的 无 线 电 波 微波、 红外 线 , 详 细 分 析 双 绞 线 的 分 类 、 双 绞 线 的 制作 过 程 以 及 直 
通 线 、 交 叉 线 的 使 用 场合 。 


2.1 网 络 互联 设备 


网 络 互联 时 需要 涉及 一 些 硬件 设备 ,这 些 设 备 称 为 网 络 互联 设备 。 常 用 的 网 络 互联 设 
备 有 中 继 器 、 集 线 器 、 网 桥 、 交 换 机 、 路 由 器 、 防 火 墙 以 及 人 侵 检测 \ 入 侵 防御 系统 等 。 

中 继 器 是 局 域 网 互联 的 最 简单 设备 , 它 工作 在 OSI 体系 结构 的 物理 层 , 集 线 器 是 有 多 
个 端口 的 中 继 器 ,简称 HUB。 目 前 ,中 继 器 以 及 集线器 均 退 出 市 场 ,网 络 互联 中 已 经 很 少见 
到 它们 的 身影 。 

网 桥 工 作 于 OSI 体系 的 数据 链 路 层 。 交 换 机 是 多 端口 的 网 桥 ,同样 工作 在 数据 链 路 
层 。 目 前 ,在 网 络 工程 中 常见 的 数据 链 路 层 设备 为 交换 机 ,网 桥 已 经 不 再 使 用 。 

路 由 器 工作 在 网 络 层 , 主 要 用 于 异 构 网 络 的 互联 。 

防火 墙 通 常 部 署 在 内 部 网 络 和 外 部 网 络 之 间 , 用 于 隔离 内 部 网 络 和 外 部 网 络 , 防 止 外 部 
网 络 对 内 部 网 络 的 攻击 ,起 到 加 强 内 部 网 络 安全 的 作用 。 

入 侵 检 测 系 统 (Intrusion Detection System,IDS) 指 的 是 依据 一 定 的 安全 策略 ,对 网 络 、 
系统 的 运行 状况 进行 即时 监视 , 尽 可 能 发 现 各 种 攻击 企图 .攻击 行为 或 者 攻击 结果 ,以 保证 
网 络 系统 资源 的 机 密 性 、 完 整 性 和 可 用 性 。IDS 是 一 种 积极 主动 的 安全 防护 技术 ,主要 分 为 
基于 网 络 的 人 侵 检测 系统 、 基 于 主机 的 入 侵 检测 系统 以 及 分 布 式 入 侵 检测 系统 。 

入 侵 防 御 系 统 (Intrusion Prevention System,IPS) 是 针对 网 络 攻击 技术 不 断 提 高 ,网 络 
安全 漏洞 不 断 发 现 ,传统 防 病毒 软件 、 防 火 墙 以 及 入 侵 检测 系统 无 法 应 对 新 的 安全 威胁 形势 
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而 产生 的 网 络 安全 设备 。 它 是 对 已 有 安全 设施 的 补充 。 入 侵 防 御 系 统 能 够 监视 网 络 或 网 络 
设备 的 行为 。 对 恶意 报 文 能 够 及 时 中 断 、 调 整 或 隔离 ,对 滥用 报 文 进行 限 流 , 以 保护 网 络 带 
宽 资源 。 

入 侵 检 测 系统 主要 起 检测 报警 的 作用 ,而 入 侵 防 御 系 统 能 够 阻止 恶意 攻击 行为 ,依靠 对 
入 网 数据 包 进 行 检测 ,确定 该 数据 包 的 真正 用 途 , 再 决定 是 否 允 许 数 据 包 进入 网 络 。 

入 侵 检 测 系统 和 入 侵 防 御 系统 的 区 别 主 要 表现 在 以 下 两 个 方面 。 

CD 从 产品 价值 角度 讲 : 人 侵 检 测 系统 注重 网 络 安全 状况 的 监管 。 入 侵 防御 系统 关注 
的 是 对 和 人 侵 行为 的 控制 。 

(2) 从 产品 应 用 角度 讲 : 为 了 达到 全 面 检测 网 络 安全 状况 的 目的 ,入 侵 检测 系统 需要 
部 署 在 网 络 内 部 的 中 心 点 ,能 够 观察 到 所 有 网 络 数据 。 对 于 多 迪 辑 隔离 的 子 网 而 言 , 需 要 在 
每 个 子 网 部 署 一 个 人 侵 检 测 分 析 引 擎 。 为 了 实现 对 外 部 攻击 的 防御 ,入 侵 防御 系统 需要 部 
署 在 网 络 的 边界 。 对 所 有 来 自 外 部 的 数据 实时 进行 分 析 , 一 旦 发 现 攻击 行为 ,立即 阻 断 , 保 
证 外 部 攻击 数据 不 能 通过 网 络 边界 进入 网 络 。 


2.1.1 集线器 


集线器 俗称 HUB, 其 主要 功能 是 对 接收 到 的 信号 进行 放大 ,以 扩大 网 络 的 传输 距离 , 同 
时 把 所 有 结 点 集中 在 以 它 为 中 心 的 结 点 上 。 集 线 器 工作 在 OSI 参考 模型 的 物理 层 , 它 采用 
CSMA/CD( 载 波 监 听 多 路 访问 /冲突 检测 ) 介 质 访问 控制 机 制 。 集 线 器 的 端口 功能 简单 ,每 
个 端口 只 做 简单 的 收发 比特 , 收 到 1 就 转发 1, 收 到 0 就 转发 0。 

集线器 属于 纯 硬 件 网 络 底层 设备 ,不 具有 智能 记忆 和 学 习 能 力 , 它 发 送 数据 时 都 是 没有 
针对 性 的 ,而 是 采用 广播 方式 发 送 , 即 它 向 某 结 点 发 送 数据 时 ,不 是 直接 把 数据 发 送 到 目的 
结 点 ,而 是 把 数据 包 发 送 到 除 接收 该 数据 包 的 端口 外 其 他 与 集线器 相连 的 所 有 结 点 。 图 2. 1 
所 示 为 利用 集线器 连接 网 络 的 情况 。 


图 2.1 集线器 连接 网 络 


2.1.2 交换 机 


交换 机 (switch) 意 为 “开关 ”, 是 一 种 用 于 电 ( 光 ) 信 号 转发 的 网 络 设备 ,为 接 入 交换 机 的 
任意 两 个 网 络 结 点 提供 独 享 的 电 ( 光 ) 信 号 通路 。 最 常见 的 交换 机 是 以 太 网 交换 机 。 其 他 常 
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见 的 还 有 电话 程控 交换 机 。 

交换 机 有 多 个 端口 ,每 个 端口 都 具有 桥接 功能 ,可 以 连接 一 个 局 域 网 或 一 台 高 性 能 服务 
器 或 工作 站 。 交 换 机 也 被 称 为 多 端口 网 桥 。 

交换 机 工作 于 OSI 参考 模型 的 第 二 层 , 即 数据 链 路 层 。 交 换 机 内 部 的 CPU 会 在 每 个 
端口 成 功 连接 时 ,通过 将 MAC 地 址 和 端口 对 应 ,形成 一 张 MAC 表 。 在 今后 的 通信 中 ,发 
往 该 MAC 地 址 的 数据 包 将 仅 送 往 其 对 应 端口 ,而 不 是 所 有 的 端口 。 因 此 ,交换 机 可 以 划分 
冲突 域 ,但 它 不 能 划分 网 络 层 的 广播 , 即 广播 域 。 

交换 机 的 控制 电路 收 到 数据 包 以 后 ,处 理 端口 会 查找 内 存 中 的 地 址 对 照 表 ,以 确定 目的 
MAC( 网 卡 的 硬件 地 址 ) 的 NIC( 网 卡 ) 接 在 哪个 端口 上 ,通过 内 部 交换 矩阵 迅速 将 数据 包 传 
送 到 目的 端口 ,目的 MAC 若 不 存在 ,交换 机 将 向 所 有 端口 进行 广播 。 接 收 端口 回应 后 , 交 
换 机 会 学 习 新 的 MAC 地 址 ,并 把 它 添 加 到 内 部 MAC 地 址 表 中 。 

根据 工作 层 数 的 不 同 ,可 以 将 交换 机 划分 为 二 层 交 换 机 和 三 层 交 换 机 。 

1. 二 层 交 换 机 

二 层 交 换 技 术 的 发 展 比较 成 熟 , 属 于 数据 链 路 层 设备 ,可 以 识别 数据 包 中 的 MAC 地 址 
信息 ,根据 MAC 地 址 进行 转发 ,并 将 这 些 MAC 地 址 与 对 应 的 端口 记录 在 自己 内 部 的 一 张 
地 址 表 中 。 

具体 工作 流程 如 下 。 

(1) 当 交 换 机 从 某 个 端口 收 到 一 个 数据 包 , 它 先 读 取 包 头 中 的 源 MAC 地 址 ,这 样 它 就 
知道 了 源 MAC 地 址 的 机 器 是 连 在 交换 机 的 哪个 端口 上 。 

(2) 读 取 包 头 中 的 目的 MAC 地 址 ,并 在 地 址 表 中 查找 相应 的 端口 。 

(3) 如 表 中 有 与 这 个 目的 MAC 地 址 对 应 的 端口 ,把 数据 包 直 接 复制 到 这 端口 上 。 

(4) 如 在 表 中 找 不 到 相应 的 端口 , 则 把 数据 包 广 播 到 所 有 端口 上 , 当 目的 机 器 对 源 机 器 
回应 时 ,交换 机 又 可 以 记录 这 一 目的 MAC 地 址 与 交换 机 端口 的 对 应 关系 ,下 次 传送 数据 时 
就 不 再 需要 对 所 有 端口 进行 广播 了 。 交 换 机 不 断 循 环 这 个 过 程 ,对 于 全 网 的 MAC 地 址 信 
息 都 可 以 学 习 到 ,二 层 交 换 机 就 是 这 样 建立 和 维护 它 自己 的 地 址 表 的 。 

2. 三 层 交换 机 

三 层 交 换 机 的 工作 原理 较 二 层 交 换 机 的 工作 原理 复杂 ,如 图 2. 2 所 示 ,PC1 和 PC2 通 
过 三 层 交 换 机 相连 ,其 工作 过 程 如 下 。 

PC1 要 和 PC2 进行 通信 ,通信 开始 时 如 果 PCI 
已 知 对 方 的 目的 IP 地 址 ,那么 PC1 就 用 自己 的 子 网 
掩 码 与 目的 IP 地 址 作 与 运算 ,从 而 得 到 相应 的 网 络 
地 址 , 据 此 可 以 判断 目的 TP. 地 址 所 在 的 网 络 是 否 与 
PCI 所 在 的 网 络 为 同一 网 段 。 如 果 在 同一 网 段 , 但 
不 知道 转发 数据 所 需 的 MAC 地 址 , PCI 就 发 送 
ARP 请 求 ,PC2 返回 其 MAC 地 址 ,PC1 用 此 MAC 
封装 数据 包 并 发 送 给 交换 机 ,交换 机 启用 二 层 交换 
模块 ,查找 MAC 地 址 表 , 将 数据 包 转 发 到 相应 的 
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图 2.2 交换 机 连接 网 络 如 果 目 的 IP 地 址 所 在 的 网 段 和 PCI 本 身 所 在 
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的 网 段 不 是 同一 个 网 段 ,那么 要 实现 PC1 和 PC2 的 通信 ,首先 在 ARP 缓存 条 目 中 查看 有 没 
有 对 应 PC2 的 MAC 地 址 条 目 , 如 果 没 有 该 条 目 , 此 时 就 将 第 一 个 正常 数据 包 发 送 给 默认 网 
关 , 这 个 默认 网 关 是 计算 机 操作 系统 之 前 设置 好 的 ,这 个 默认 网 关 的 IP 对 应 第 三 层 路 由 模 
块 ,所 以 对 于 不 是 同一 子 网 的 数据 ,最 先 在 MAC 表 中 存放 的 是 默认 网 关 的 MAC 地 址 (由 
源 主机 PCI 完成 ) ;然后 就 由 三 层 模块 接收 此 数据 包 , 查 询 路 由 表 , 以 确定 到 达 PC2 的 路 由 ， 
将 构造 一 个 新 的 帧 头 , 其 中 以 默认 网 关 的 MAC 地 址 为 源 MAC 地 址 ,以 主机 PC2 的 MAC 
地 址 为 目的 MAC 地 址 。 通 过 一 定 的 机 制 ,确定 主机 PCI 和 PC2 的 MAC 地 址 及 转发 端口 
的 对 应 关系 ,并 记录 进 缓存 条 目 表 中 ,以 后 PC1 和 PC2 的 数据 就 直接 交 由 二 层 交 换 模块 完 
成 。 这 就 是 通常 所 说 的 一 次 路 由 多 次 转发 。 

三 层 交 换 机 的 特点 如 下 。 

(1) 由 硬件 结合 实现 数据 的 高 速 转发 。 不 是 简单 二 层 交换 和 路 由 器 的 释 加 ,三 层 路 由 
模块 直接 县 加 在 二 层 交 换 的 高 速 背 板 总 线 上 ,突破 了 传统 路 由 器 的 端口 速率 限制 。 

(2) 简洁 的 路 由 软件 使 路 由 过 程 简化 。 大 部 分 的 数据 转发 , 除 必要 的 路 由 选择 交 由 路 
由 软件 处 理 外 ,都 是 由 二 层 模 块 高 速 转发 ,路 由 软件 大 多 都 是 经 过 处 理 的 高 效 优 化 软件 ,并 
不 是 简单 照搬 路 由 器 中 的 软件 。 

3. 二 层 和 三 层 交 换 机 的 选择 

二 层 交 换 机 用 于 小 型 的 局 域 网 。 在 小 型 的 局 域 网 中 ,广播 包 影响 不 大 ,二 层 交 换 机 的 快 
速 交换 功能 、 多 个 接 人 端口 和 低廉 价格 为 小 型 网 络 用 户 提供 了 很 完善 的 解决 方案 。 

三 层 交 换 机 的 优点 在 于 端口 类 型 丰富 ,支持 的 三 层 功能 强大 ,路 由 能 力 强 大 ,适合 大 型 
网 络 间 的 路 由 , 它 的 优势 在 于 选择 最 佳 路 由 ,负荷 分 担 , 链 路 备份 及 和 其 他 网 络 进行 路 由 信 
息 的 交换 等 路 由 器 所 具有 的 功能 。 

如 果 把 大 型 网 络 按照 部 门 . 地 域 等 因素 划分 成 一 个 个 小 局 域 网 ,这 将 导致 大 量 的 网 际 互 
访 , 单 纯 使 用 二 层 交换 机 不 能 实现 网 际 互 访 ; 如 单纯 使 用 路 由 器 ,由 于 端口 数量 有 限 和 路 由 
转发 速度 慢 , 将 限制 网 络 的 速度 和 网 络 规模 ,采用 具有 路 由 功能 的 快速 转发 的 三 层 交 换 机 就 

4. 交换 机 的 启动 过 程 

交换 机 加 载 启动 加 载 器 软件 。 启 动 加 载 器 是 存储 在 NVRAM 中 的 小 程序 ,并 且 在 交换 
机 第 一 次 开启 时 运行 。 

启动 加 载 器 执行 以 下 操作 。 

CD 执行 低级 CPU 初始 化 。 启 动 加 载 器 初始 化 CPU 寄存 器 ,寄存 器 控制 物理 内 存 的 
映射 位 置 .内 存量 以 及 内 存 速度 。 

(2) 执行 CPU 子 系统 的 加 电 自 检 (POST) 。 启 动 加 载 器 测试 CPU DRAM 以 及 构成 闪 
存 文件 系统 的 内 存 设 备 部 分 。 

(3) 初始 化 系统 主板 上 的 闪存 文件 系统 。 

(4) 将 默认 操作 系统 软件 映像 加 载 到 内 存 中 ,并 启动 交换 机 。 启 动 加 载 器 先 在 与 Cisco 
iOS 映像 文件 同名 的 目录 中 查找 交换 机 上 的 Cisco iOS 映像 ,如 果 在 该 目录 中 未 找到 , 则 启 
动 加 载 器 软件 搜索 每 一 个 子 目录 ,然后 继续 搜索 原始 目录 。 

(5) 操作 系统 使 用 在 操作 系统 配置 文件 config. text( 存 储 在 交换 机 闪存 中 ) 中 找到 的 
Cisco iOS 命令 初始 化 端口 。 
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启动 加 载 器 还 可 以 在 操作 系统 无 法 使 用 的 情况 下 用 于 访问 交换 机 。 

5. 交换 机 端口 类 型 

思科 交换 机 的 端口 类 型 有 配置 端口 ` 百 兆 端口 . 千 兆 端口 以 及 万 兆 端口 等 。 

交换 机 配置 端口 有 两 个 ,分 别 是 Console 和 AUX,Console 通常 是 用 来 进行 交换 机 的 基 
本 配置 时 通过 专用 连 线 与 计算 机 连用 的 ,而 AUX 是 用 于 交换 机 的 远程 配置 连接 用 的 。 

(1) Console 端口 。 

Console 端口 使 用 配置 专用 连 线 直 接连 接 至 计算 机 的 串口 ,利用 终端 仿真 程序 (如 
Windows 下 的 超级 终端 ) 进 行 交换 机 本 地 配置 。 交 换 机 的 Console 端口 多 为 RJ-45 端口 。 

(2) AUX 端口 。 

AUX 端口 为 异步 端口 ,主要 用 于 远程 配置 ,也 可 用 于 拨号 连接 ,还 可 通过 收发 器 与 
MODEM 进行 连接 。AUX 端口 与 Console 端口 通常 同时 提供 ,因为 它们 的 用 途 各 不 相同 。 


2.1.3 路 由 器 


路 由 器 (router) 又 称 网 关 设 备 (gateway) ,是 连接 互联 网 中 各 局 域 网 .广域网 的 设备 。 
路 由 器 用 于 连接 多 个 逻辑 上 分 开 的 网 络 。 所 谓 逮 辑 网 络 ,代表 一 个 单独 的 网 络 或 者 一 个 子 
网 。 当 数据 从 一 个 子 网 传输 到 另 一 个 子 网 时 ,可 通过 路 由 器 的 路 由 功能 完成 。 因 此 ,路 由 器 
具有 判断 网 络 地 址 和 选择 TP 路 径 的 功能 ,属于 网 络 层 的 一 种 互联 设备 。 

路 由 器 是 互联 网 中 主要 的 结 点 设备 。 路 由 器 通过 路 由 决定 数据 的 转发 。 转 发 策略 称 为 
路 由 选择 。 作 为 不 同 网 络 之 间 互 相连 接 的 枢纽 ,路 由 器 系统 构成 了 基于 TCP/IP 的 国际 互 
联网 的 主体 脉络 ,也 可 以 说 ,路 由 器 构成 了 互联 网 的 骨架 。 它 的 处 理 速 度 是 网 络 通信 的 主要 
瓶颈 之 一 。 它 的 可 靠 性 直接 影响 网 络 互联 的 质量 。 因 此 ,在 园区 网 ` 地 区 网 ,甚至 互联 网 中 ， 
路 由 器 技术 始终 处 于 核心 地 位 。 图 2. 3 所 示 为 路 由 器 联网 结构 图 。 


2.3 路 由 器 联网 结构 图 


路 由 器 能 够 正常 运行 ,需要 操作 系统 的 支持 ,如 思科 路 由 器 的 操作 系统 我 们 称 它 为 
iOS, WE] PC 上 使 用 的 Windows 系统 一 样 。 
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1. 路 由 器 启动 过 程 

(1) 路 由 器 在 加 电 后 首先 进行 上 电 自 检 (Power On Self Test, POST), 对 硬件 进行 
检测 。 

(2) POST 完成 后 , 读 取 ROM 里 的 BOOTStrap 程序 进行 初步 引导 。 

(3) 初步 引导 完成 后 ,尝试 定位 并 读 取 完整 的 iOS 镜像 文件 。 路 由 器 将 会 首先 在 Flash 
中 查找 OS 文件 ,如 果 找 到 了 iOS 文件 ,就 读 取 iOS 文件 ,引导 路 由 器 。 

(4) 如 果 在 Flash 中 没有 找到 iOS 文件 ,路 由 器 将 会 进行 BOOT 模式 ,在 BOOT 模式 
下 可 以 使 用 TFTP 上 的 iOS 文件 。 路 由 器 就 可 以 正常 启动 到 命令 行 界面 (Command-Line 
Interface,CLI) 模 式 。 

C5) 当 路 由 器 初始 化 完成 iOS 文件 后 ,就 会 开始 在 NVRAM 中 查找 STARTUP- 
CONFIG 文件 ,STARTUP-CONFIG 叫 作 启 动 配置 文件 。 该 文件 保存 了 对 路 由 器 所 做 的 所 
有 的 配置 和 修改 。 当 路 由 器 找到 该 文件 后 ,路 由 器 就 会 加 载 文件 里 的 所 有 配置 ,并 且 根据 配 
置 学 习 、 生 成 维护 路 由 表 , 并 将 所 有 的 配置 加 载 到 RAM( 路 由 器 的 内 存 ) 里 后 ,进入 用 户 模 
式 , 最 终 完成 启动 过 程 。 

(6) 如 果 在 NVRAM 里 没有 STARTUP-CONFIG 文件 , 则 路 由 器 会 进入 询问 配置 模 
式 , 也 就 是 俗称 的 问答 配置 模式 ,在 该 模式 下 ,所 有 关于 路 由 器 的 配置 都 以 问答 形式 进行 配 
置 。 不 过 ,一 般 情况 下 ,基本 不 用 问答 形式 的 配置 模式 ,而 是 通过 进入 CLI 命令 行 模式 对 路 
由 器 进行 配置 。 

2. 路 由 器 端口 类 型 

路 由 器 带 有 各 种 不 同 的 端口 ,如 配置 端口 ,快速 以 太 网 端口 . 千 兆 以 太 网 端口 以 及 串 行 
端口 等 。 

路 由 器 配置 端口 通常 有 两 个 ,分 别 是 Console 口 和 AUX HO, Console 口 通常 对 路 由 器 
进行 基本 配置 时 通过 专用 连 线 与 计算 机 相连 ,而 AUX 口 是 用 于 对 路 由 器 进行 远程 配置 时 
采用 的 配置 端口 。 

(1) Console 口 。 

Console 口 使 用 配置 专用 连 线 直接 连接 至 计算 机 的 串口 ,利用 终端 仿真 程序 (如 
Windows 下 的 超级 终端 ) 进 行路 由 器 本 地 配置 。 路 由 器 的 Console 口 通常 为 RJ-45 H. 

(2) AUX Hi; 

AUX 口 为 异步 端口 ,主要 用 于 远程 配置 ,也 可 用 于 拨号 连接 ,还 可 通过 收发 器 与 
MODEM 进行 连接 。AUX H 5j Console 口 通常 同时 提供 ,因为 它们 的 用 途 各 不 相同 。 

(3) 高 速 同 步 串口 。 

在 路 由 器 的 广域网 连接 中 ,应 用 最 多 的 端口 要 算 高 速 同步 串口 (SERIAL) 了 ,这 种 端口 
主要 用 于 连接 DDN、 帧 中 继 (Frame Relay), X. 25、.PSTN( 模 拟 电 话 线 路 )、ATM 等 网 络 连 
接 模式 。 在 企业 网 之 间 , 有 时 也 通过 ATM 或 帧 中 继 等 广域网 连接 技术 进行 专线 连接 。 这 
种 同步 端口 一 般 要 求 速率 非常 高 ,因为 一 般 来 说 ,通过 这 种 端口 连接 的 网 络 的 两 端 都 要 求实 
时 同步 。 

(4) 快速 以 太 网 端口 。 

Fastethernet 口 为 快速 以 太 网 端口 ,用 于 连接 以 太 网 。 
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3. 路 由 器 与 3 层 交 换 机 的 比较 

路 由 器 与 3 层 交 换 机 虽然 都 具有 路 由 功能 ,但 是 3 层 交 换 机 的 主要 功能 仍然 是 数据 交 
换 , 它 的 路 由 功能 通常 比较 简单 ,因为 它 主要 完成 局 域 网 的 连接 ,路 由 路 径 远 没有 路 由 器 那 
么 复杂 , 它 用 在 局 域 网 中 的 主要 用 途 是 提供 快速 数据 交换 功能 ,满足 局 域 网 数据 交换 频繁 的 
应 用 特点 。 

路 由 器 的 主要 功能 还 是 路 由 功能 , 它 的 路 由 功能 更 多 体现 在 不 同类 型 网 络 之 间 的 互联 
上 ,如 局 域 网 与 广域网 之 间 的 连接 不 同 协议 的 网 络 之 间 的 连接 等 ,所 有 路 由 器 主要 用 于 不 
同类 型 的 网 络 之 间 。 它 最 主要 的 功能 是 路 由 转发 ,解决 好 各 种 复杂 路 由 路 径 网 络 的 连接 就 
是 它 的 最 终 目的 ,所 以 路 由 器 的 路 由 功能 通常 非常 强大 ,不 仅 适 用 于 同 种 协议 的 局 域 网 间 ， 
更 适用 于 不 同 协议 的 局 域 网 与 广域网 间 。 


2.2 网 络 互联 介质 


网 络 互 联 介质 分 为 有 线 介 质 和 无 线 介质 两 种 。 常 见 的 有 线 介 质 有 双 绞 线 、 同 轴 电 缆 和 
光纤 。 常 见 的 无 线 传输 介质 有 无 线 电 波 、 微 波 以 及 红外 线 等 。 


2.2.1 双 绞 线 


双 绞 线 (Twisted Pair,TP) 是 一 种 综合 布线 工程 中 最 常用 的 传输 介质 ,由 两 根 具有 绝缘 
保护 层 的 铜 导线 组 成 。 把 两 根 绝缘 的 铜 导 线 按 一 定 密 度 互相 绞 在 一 起 ,目的 是 将 导线 在 传 
输 中 辐射 出 来 的 电波 互相 抵消 ,有 效 降 低 信和 号 干扰 的 程度 。 实 际 使 用 时 ,将 多 对 双 绞 线 包 在 
一 个 绝缘 电缆 套 管 里 ,形成 双 绞 线 电缆 。 日 常生 活 中 一 般 把 双 绞 线 电缆 直接 称 为 双 绞 线 。 

与 其 他 传输 介质 相 比 , 双 绞 线 在 传输 距离 ,信道 宽度 和 数据 传输 速度 等 方面 均 受 到 一 定 
限制 ,其 价格 较为 低廉 。 

1. 双 绞 线 的 分 类 

双 绞 线 可 以 根据 有 无 屏蔽 层 进行 分 类 ,也 可 以 从 频率 和 信 品 比 角度 进行 分 类 。 

根据 有 无 屏蔽 层 进 行 分 类 ,可 将 双 绞 线 划分 为 屏蔽 双 绞 线 (Shielded Twisted Pair. 
STP) 与 非 屏蔽 双 绞 线 (Unshielded Twisted Pair, UTP), 

屏蔽 双 绞 线 由 4 对 不 同 颜色 的 传输 线 组 成 ,在 双 绞 线 与 外 层 绝缘 层 封套 之 间 有 一 层 金 
属 屏 项 层 。 屏 蔽 层 可 减少 辐射 ,防止 信息 被 窃听 ,也 可 阻止 外 部 电磁 干扰 的 进入 。 屏 项 双 绞 
线 比 同类 的 非 屏 项 双 绞 线 具有 更 高 的 传输 速率 。 

非 屏蔽 双 绞 线 同样 由 4 对 不 同 颜色 的 传输 线 组 成 ,广泛 应 用 于 以 太 网 中 。 电 话 线 用 的 
是 1 对 非 屏 蔽 双 绞 线 。 在 综合 布线 系统 中 , 非 屏 项 双 绞 线 得 到 广泛 应 用 , 它 的 主要 优点 
AR. 

COD 无 屏蔽 外 套 , 直 径 小 ,节省 占用 的 空间 ,成 本 低 。 

(2) 重量 轻 , 易 弯曲 , 易 安 装 。 

(3) 具有 阻 燃 性 。 

(4) 具有 独立 性 和 灵活 性 ,适用 于 结构 化 综合 布线 。 

按照 频率 和 信 品 比 进行 分 类 ,常见 的 双 绞 线 有 三 类 线 、 四 类 线 、 五 类 线 、 超 五 类 线 以 及 六 
类 线 等 ,具体 如 下 。 
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(1) 三 类 线 (CAT3): 指 在 美国 国家 标准 协会 (American National Standards Institute. 
ANSI) 和 美国 通信 工业 协会 (Telecommunication Industry Association ,TIA) 以 及 美国 电子 
工业 协会 (Electronic Industries Alliance,EIA) 制 定 的 EIA/TIA568 标准 中 指定 的 电缆 ,该 
电缆 的 传输 频率 为 16MHz, 最 高 传输 速率 为 1 0Mb/s, 主 要 应 用 于 语音 .10Mb/s 以 太 网 
(10Base- T) HI 4Mb/s 令 牌 环 , 最 大 网 段 长 度 为 100m, 已 淡出 市 场 。 

(2) 四 类 线 (CAT4): 该 类 电缆 的 传输 频率 为 20MHz, 用 于 语音 传输 和 最 高 传输 速率 
16Mb/s( 指 的 是 16Mb/s 令 牌 环 ) 的 数据 传输 ,主要 用 于 基于 令 牌 的 局 域 网 和 10BASE-T/ 
100BASE-T。 最 大 网 段 长 100m, 未 被 广泛 使 用 。 

(3) 五 类 线 (CAT5): 这 类 电缆 增加 了 绕 线 密度 ,外 套 一 种 高 质量 的 绝缘 材料 , 线 线 最 
高 频率 带宽 为 00MHz, 最 高 传输 速率 为 1000Mb/s, 用 于 语音 传输 和 最 高 传输 速率 为 
100Mb/s 的 数据 传输 , 主要 用 于 100BASE-T 和 1000BASE-T 网 络 。 最 大 网 段 长 度 为 
100m, 这 是 最 常用 的 以 太 网 电缆 。 在 双 绞 线 电缆 内 ,不同 线 对 具有 不 同 的 绞 距 长 度 。 

(4) 超 五 类 线 (CAT5e): 超 5 类 具有 衰减 小 串扰 少 、 更 高 的 信 品 比 、 更 小 的 时 延误 差 ， 
性 能 得 到 很 大 提高 。 超 五 类 线 主要 用 于 千 兆 位 以 太 网 (1000Mby/s) 。 

(5) 六 类 线 (CAT6): 该 类 电缆 的 传输 频率 为 1 一 250MHz, 它 提供 的 带宽 为 超 五 类 带宽 
的 2 倍 。 六 类 线 的 传输 性 能 远 远 高 于 超 五 类 标准 ,最 适用 于 传输 速率 高 于 1Gb/s 的 应 用 。 

2. 双 绞 线 的 制作 

国际 上 最 有 影响 力 的 3 家 综合 布线 组 织 为 美国 国家 标准 协会 (ANSD 、 美 国 通信 工业 协 
会 (TIA) 以 及 美国 电子 工业 协会 (EIA)。 在 双 绞 线 制作 标准 中 ,应 用 最 广 的 是 EIA/TIA- 
568A 和 EIA/TIA-568B。 这 两 个 标准 最 主要 的 区 别 是 线 的 排列 顺序 不 一 样 。 实 际 工程 项 
目 中 用 得 比较 多 的 线 序 标准 为 EIA/TIA-568B。 

EIA/TIA-568A 的 线 序 为 : 白 绿 绿 FAO 蓝 AR RE 白 棕 棕 

EIA/TIA-568B 的 线 序 为 : FA RE 白 绿 蓝 AR 绿 白 棕 棕 

根据 568A 和 568B 标准 ,RJ-45 水 晶 头 各 触 点 在 网 络 连接 中 ,对 传输 信号 来 说 它们 起 的 
作用 分 别 是 : 1,2 用 于 发 送 ,3、6 用 于 接收 ,所 以 8 根 线 的 双 绞 线 中 ,实际 用 来 使 用 的 是 4 根 
线 。 也 就 是 说 ,只 保证 这 4 根 线 联通 ,这 根 双 绞 线 电缆 就 可 用 于 实际 工程 项 目 中 ,而 并 不 需 
要 8 根 线 一 定 全 部 联通 。 

双 绞 线 的 制作 步骤 如 下 。 

(1) 剪断 。 

用 网 线 钳 剪 一 段 满足 长 度 需要 的 双 绞 线 。 

(2) 剥皮 。 

把 剪 齐 的 一 端 插入 网 线 钳 用 于 和 剥 线 的 缺口 中 ,稍微 握 紧 压 线 钳 慢 慢 旋转 一 圈 , 让 刀口 划 
开 双 绞 线 的 保护 胶皮 , 剥 下 胶皮 。 当 然 , 也 可 使 用 专门 的 剥 线 钳 剥 下 保护 胶皮 。 注 意 , 剥 皮 
的 长 度 要 适中 ,剥皮 过 长 导致 网 线 外 套 胶皮 不 能 被 水 晶 头 完全 包 住 ,实际 使 用 时 由 于 水 晶 头 
的 晃动 ,导致 网 线 的 断裂 ,从 而 不 能 保护 双 绞 线 。 剥 线 过 短 ,导致 双 绞 线 不 能 插 到 水 晶 头 的 
底部 ,造成 水 晶 头 插 针 不 能 与 网 线 完 好 接触 。 

(3) 排序 。 

剥 除外 皮 后 即 可 见 到 双 绞 线 电缆 的 4 对 8 条 芯 线 ,把 每 对 相互 缠绕 的 线 缆 解 开 。 解 开 
后 根据 规则 排列 好 顺序 并 理 顺 。 
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(4) HF. 

由 于 线 缆 之 前 是 互相 缠绕 的 ,排列 好 顺序 并 理 顺 和 弄 直 之 后 , 双 绞 线 的 顶端 8 根 线 已 经 不 
再 一 样 长 了 ,此 时 用 压 线 钳 的 剪 线 刀 口 把 线 缆 顶 部 裁剪 整齐 。 

(5) 插入 。 

把 按照 一 定 的 标准 顺序 整理 好 的 线 缆 插 入 水 蝇头 内 。 注 意 ,插入 时 将 水 晶 头 有 塑料 弹 
簧 片 的 一 面向 下 ,有 针脚 的 一 面向 上 。 插 入 时 要 求 将 8 根 线 一 直 插 到 线 槽 的 顶端 。 

(6) 压 线 。 

将 水 晶 头 插入 压 线 钳 的 SP. 槽 内 压 线 , 用 力 担 紧 线 钳 ,可 以 使 用 双手 一 起 压 , 使 得 水 品 
头 凸 出 在 外 面 的 针脚 全 部 压 人 水晶 头 内 。 

(7) 测试 。 

将 做 好 的 网 线 的 两 头 分 别 插入 网 线 测试 仪 中 ,并 启动 开关 ,观察 测 线 仪 灯 的 闪烁 情况 判 
断 网 线 制 作 是 否 成 功 。 

两 端 做 好 水 蝇头 的 双 绞 线 有 直通 线 和 交叉 线 之 分 。 直 通 线 也 称 为 平行 线 , 指 的 是 双 绞 
线 两 端 线 序 相同 ,标准 的 做 法 是 ,如 果 一 端 做 成 EIA/TIA-568A 标准 , 男 一 端 同 样 须 做 成 
EIA/TIA-568A 标准 。 如 果 一 端 做 成 EIA/TIA-568B 标准 , 另 一 端 同样 做 成 EIA/TIA- 
568B 标准 ,总 之 ,两 端的 顺序 相同 ,如 图 2.4 和 图 2. 5 所 示 。 在 工程 项 目 中 ,如 果 确 实 忘记 
了 标准 EIA/TIA-568A 或 EIA/TIA-568B 的 顺序 ,只 需 记 住 一 点 ,直通 线 的 本 质 是 两 边 的 
线 序 相同 即 可 ,不 按照 标准 做 同样 能 够 解决 问题 。 当 然 , 在 实际 的 工程 项 目 中 ,尽量 按照 标 
准 做 网 线 水 蝇头 。 这 样 的 网 线 抗 干扰 能 力 是 最 强 的 。 
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图 2.4 双 绞 线 直通 线 EIA/ TIA-568B 标准 做 法 


懂得 直通 线 的 本 质 之 后 ,可 以 帮助 我 们 解决 一 些 实际 问题 。 在 实际 工程 中 ,利用 标准 做 
法 的 双 绞 线 主要 使 用 4 根 线 , 分 别 为 白 橙 . 橙 . 白 绿 和 绿 。 我 们 发 现 ,有 时 由 于 这 4 根 线 存在 
断裂 的 情况 导致 这 根 双 绞 线 电缆 线 不 能 使 用 ,从 而 网 络 不 能 联通 。 如 果 我 们 懂得 双 绞 线 制 
作 的 本 质 , 就 可 以 使 用 别 的 颜色 的 线 代 蔡 那 根 断 的 线 解决 问题 ,使 这 根 双 绞 线 仍然 能 够 正常 
使 用 。 如 果 一 直 强 调 必 须 使 用 标准 的 双 绞 线 的 做 法 做 这 根 双 绞 线 ,那么 这 根 线 永远 做 不 通 ， 
而 实际 这 根 线 是 可 以 再 次 使 用 的 。 

另 一 种 常见 的 双 绞 线 做 法 是 做 成 交叉 线 。 交 叉 线 是 双 绞 线 一 端的 1,2 号 线 对 应 另 一 端 
的 3,6 号 线 。 一 端的 3,6 号 线 对 应 男 一 端的 1,2 号 线 , 如 图 2.6 所 示 。 按 照 标准 的 做 法 ,如 
果 双 绞 线 的 一 端 做 成 EIA/TIA-568A, 则 另 一 端 做 成 EIA/TIA-568B。 或 者 双 绞 线 的 一 端 
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图 2.5 双 绞 线 直通 线 EIA/TIA-568A 标准 做 法 


做 成 EIA/TIA-568B, 则 另 一 端 做 成 EIA/TIA-568A。 这 样 的 双 绞 线 称 为 交叉 线 , 如 图 2. 6 
所 示 。 懂 得 交叉 线 的 本 质 之 后 ,同样 可 以 帮助 我 们 解决 实际 问题 。 当 编号 为 1,2,3,6 的 
A 根 线 中 的 某 一 根 或 几 根 出 现 断 裂 之 后 ,可 以 利用 其 他 线 代 蔡 断 裂 的 线 , 从 而 解决 双 绞 线 不 
通 的 问题 。 
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图 2.6 双 绞 线 交 叉 线 制作 


3. 双 绞 线 线 型 的 选择 

在 工程 项 目 中 ,往往 需要 对 双 绞 线 的 线 型 进行 选择 ,是 使 用 直通 线 , 还 是 使 用 交叉 线 ? 
关于 双 绞 线 的 选择 ,规则 如 下 。 

CD 相同 性 质 设备 之 间 用 交叉 线 ,不 同性 质 设备 之 间 用 直通 线 。 

C2) 将 路 由 器 和 PC 看 成 相同 性 质 设备 ;将 交换 机 和 集线器 看 成 相同 性 质 设备 。 

根据 以 上 规则 ,得 到 常见 设备 之 间 的 连 线 情况 , 见 表 2. 1。 


表 2.1 常见 设备 间 的 线 型 选择 


设 备 计算 机 集线器 交换 机 路 由 器 
计算 机 交叉 线 直通 线 直通 线 交叉 线 
集线器 直通 线 交叉 线 交叉 线 直通 线 
交换 机 直通 线 交叉 线 交叉 线 直通 线 
路 由 器 交叉 线 直通 线 直通 线 交叉 线 
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2.2.2 同 轴 电 缆 


同 轴 电 缆 是 指 有 两 个 同心 导体 ,而 导体 和 屏蔽 层 公用 同一 轴 心 的 电缆 。 最 常见 的 同 轴 
电缆 由 绝缘 材料 隔离 的 铜 线 导 体 组 成 ,在 里 层 绝缘 材料 的 外 部 是 另 一 层 环形 导体 及 其 绝缘 
层 ,整个 电缆 由 聚 毛 乙 烯 或 特 氟 纶 材料 的 护 套 包 住 。 

同 轴 电 缆 从 用 途上 分 ,可 分 为 500 基带 电缆 和 759 宽带 电缆 ( 即 网 络 同 轴 电 缆 和 视频 
同 轴 电 缆 ) 两 类 。 基 带电 缆 又 分 细 同 轴 电 缆 和 粗 同 轴 电 缆 两 类 。 

1. 细 同 轴 电 缆 

细 同 轴 电 缆 的 最 大 传输 距离 为 185m, 使 用 时 与 509 终端 电阻 、T 型 连接 器 、BNC 接头 
与 网 卡 相连 ,不 需要 购置 集线器 等 有 源 设 备 。 

2. 粗 同 轴 电 线 

粗 同 轴 电 缆 的 最 大 传输 距离 达到 500m。 不 能 与 计算 机 直接 连接 ,需要 通过 一 个 转 接 器 
转 成 AUI 接头, 然后 再 接 到 计算 机 上 。 粗 同 轴 电 缆 的 最 大 传输 距离 比 细 同 轴 电 缆 长 ,主要 
用 于 网 络 主干 。 


2.2.3 光纤 


光纤 是 光 导 纤维 的 简称 ,是 一 种 由 玻璃 或 塑料 制 成 的 纤维 ,可 作为 光 传 导 工 具 。 光 纤 的 
传输 原理 是 光 的 全 反射 。 

细微 的 光纤 封装 在 塑料 护 套 中 ,使 得 它 能 够 弯曲 而 不 至 于 断裂 。 光 纤 的 一 端 发 射 装 置 
使 用 发 光 二 极 管 (Light Emitting Diode, LED) 或 一 束 激光 将 光 脉 冲 传 送 至 光纤 ,光纤 另 一 
端的 接收 装置 使 用 光敏 元 件 检测 脉冲 。 

在 日 常生 活 中 ,由 于 光 在 光 导 纤维 传导 的 消耗 比 电 在 电线 传导 的 消耗 低 得 多 ,所 以 光纤 
被 用 作 长 距离 的 信息 传递 。 

光纤 分 为 单 模 光 纤 和 多 模 光 纤 , 单 模 光 纤 是 只 能 传输 一 种 模式 的 光纤 ,具有 比 多 模 光 纤 
大 得 多 的 带宽 。 它 适用 于 大 容量 ,长 距离 通信 。 

多 模 光纤 容许 不 同 模 式 的 光 在 一 根 光纤 上 传输 ,由 于 多 模 光 纤 的 芯 径 较 大 ,所 以 可 使 用 
较 廉价 的 耦合 器 及 接线 器 。 


2.2.4 无 线 电波 


无 线 电波 是 指 在 自由 空间 (包括 空气 和 真空 ) 传 播 的 射频 频段 的 电磁 波 。 无 线 电 技术 的 
原理 在 于 ,导体 中 电流 强 弱 的 改变 会 产生 无 线 电 波 。 利 用 这 一 现象 ,通过 调制 可 将 信息 加 载 
于 无 线 电波 之 上 。 当 电波 通过 空间 传播 到 达 接 收 端 ,电波 引起 的 电磁 场 变 化 又 会 在 导体 中 
产生 电流 。 通 过 解 调 信 息 从 电流 变化 中 提取 信息 ,最终 达到 信息 传递 的 目的 。 


2.2.5 微波 


微波 是 指 频率 为 300MHz 一 300GHz 的 电磁 波 .是 无 线 电波 中 一 个 有 限 频带 的 简称 , 即 
波长 为 Im 一 lmm 的 电磁 波 , 微 波 频率 比 一 般 的 无 线 电波 频率 高 ,通常 也 称 为 “ 超 高 频 电 
磁 波 ”。 
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2.2.6 红外线 


红外 线 是 太阳 光线 中 众多 不 可 见 光 线 中 的 一 种 ,可 当 作 传 输 媒 介 。 红 外 线 通 信 有 两 个 
最 突出 的 优点 。 

CD 不 易 被 人 发 现 和 截获 ,保密 性 强 。 

(2) 实现 相对 简单 , 抗 干扰 性 强 。 


2.3 ”本章 小 结 


本 章 讲 解 了 在 网 络 互联 技术 中 涉及 的 常见 网 络 设备 以 及 网 络 互联 介质 ,首先 讲解 了 中 
继 器 、 集 线 器 、 网 桥 、 交 换 机 、 路 由 器 等 常见 的 网 络 互联 设备 以 及 它们 在 OSI 参考 模型 中 工 
作 的 层次 ,同时 介绍 了 防火 墙 \ 人 侵 检测 及 入 侵 防 御 等 网 络 安全 设备 。 

接着 讲解 了 集线器 的 工作 原理 。 在 交换 机 部 分 ,主要 讲述 了 交换 机 的 分 类 ,探讨 了 二 层 
交换 机 、 三 层 交 换 机 的 工作 原理 ,以 及 二 层 交 换 机 和 三 层 交 换 机 的 使 用 场合 。 接 着 讲解 了 交 
换 机 的 启动 过 程 及 交换 机 的 端口 分 类 。 在 网 络 互联 设备 路 由 器 部 分 ,主要 讲解 了 路 由 器 的 
工作 原理 ,分 析 了 路 由 器 的 启动 过 程 以 及 端口 类 型 ,同时 分 析 了 交换 机 和 路 由 器 的 区 别 。 

本 童 同时 介绍 了 常见 的 网 络 互联 介质 ,包括 有 线 介 质 的 双 绞 线 、 同 轴 电 缆 、 光 纤 以 及 无 
线 传输 介质 的 无 线 电 波 、 微 波 、 红 外 线 。 这 部 分 特别 详细 分 析 了 双 绞 线 的 分 类 、 双 绞 线 的 制 
作 过 程 以 及 直通 线 、 交 叉 线 的 工作 原理 。 本 章 最 后 探讨 了 直通 线 和 交叉 线 各 自 使 用 的 场合 。 


2.4 习题 


简 答 题 

. 常见 的 网 络 互联 设备 有 哪些 ? 

. 简 述 集线器 的 工作 原理 。 

. 简 述 二 层 交 换 机 以 及 三 层 交 换 机 的 工作 原理 。 
. 简 述 二 层 交 换 机 和 三 层 交 换 机 各 自 的 使 用 场合 。 
. 简 述 交换 机 的 启动 过 程 。 

. 简 述 交换 机 的 端口 类 型 。 

. 简 述 路 由 器 的 工作 原理 。 

. 分 析 路 由 器 的 启动 过 程 。 

. 路 由 器 的 端口 类 型 有 哪 几 种 ? 

10. 分 析 一 下 交换 机 和 路 由 器 的 区 别 。 

11. 常见 的 传输 介质 有 哪些 ? 

12. 简 述 双 绞 线 的 制作 过 程 。 

操作 题 

1. 实际 操作 查看 交换 机 和 路 由 器 的 启动 过 程 。 
2. 指出 实际 交换 机 以 及 路 由 器 的 端口 类 型 。 

3. 实际 动手 制作 一 根 直 通 线 和 一 根 交叉 线 。 
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本 章 学 习 目标 

。 掌握 网 络 设备 基本 配置 方法 

* 熟悉 利用 Console 口 对 网 络 设备 进行 配置 的 过 程 
。 精通 网 络 设备 几 种 常见 的 配置 模式 

。 精通 网 络 设备 基本 配置 命令 

熟悉 利用 Telnet 对 网 络 设备 进行 配置 的 过 程 

了 解 利用 Web 对 网 络 设备 进 行 配置 的 过 程 

。 掌握 Show 命令 

* 熟悉 CDP 


"EAS BE fr AURI Console 口 对 网 络 设备 进行 配置 的 过 程 , 接 着 介绍 常见 的 网 络 
设备 配置 模式 ,详细 介绍 常见 的 网 络 设备 基本 配置 命令 。 之 后 介绍 利用 Telnet 以 及 Web 
对 网 络 设备 进行 配置 的 过 程 。 

本 章 最 后 介绍 常见 的 Show 命令 ,并 介绍 思科 专 有 协议 CDP。 


3.1 利用 Console 口 对 网 络 设备 进行 配置 


网 络 设备 是 特殊 用 途 的 计算 机 ,然而 网 络 设备 没有 键盘 和 显示 器 等 关键 的 外 部 设备 , 若 
不 借助 其 他 设备 ,就 不 可 能 对 网 络 设备 进行 配置 ,因此 ,对 网 络 设 备 进行 配置 需要 借助 计算 
机 完成 。 对 网 络 设备 进行 初始 化 配置 ,需要 将 计算 机 的 串口 和 网 络 设备 的 Console 口 进行 
连接 。 对 网 络 设备 进行 初始 化 配置 后 ,就 可 以 使 用 其 他 方式 对 网 络 设备 进行 配置 了 , 如 
Telnet, Web Browser、 网 络 管理 软件 以 及 AUX 等 。 
Console 口 是 网 络 设备 的 控制 端口 ,Console 口 使 用 专用 连 线 直接 连接 至 计算 机 的 串 
E ,然后 利用 终端 仿真 程序 (如 Windows 下 的 “超级 终端 *") 对 路 由 器 进行 本 地 配置 。 路 由 器 
的 Console 口 一 般 为 RJ-45 H. 
Console 口 是 用 来 配置 网 络 设备 的 ,所 以 只 有 网 管 型 网 络 设备 才 有 Console 口 。 并 且 还 
要 注意 ,并 不 是 所 有 网 管 型 网 络 设备 都 有 ,因为 网 络 设备 的 配置 形式 有 和 多 种 ,如 通过 Telnet 
命令 行 方式 或 Web 方式 等 。 
Console 线 一 般 有 3 种 类 型 ,一 种 为 两 端 均 为 DB9 母 头 的 配置 线 缆 , 如 图 3. 1 所 示 ; 男 
一 种 为 一 端 为 DB9 公 头 , 另 一 端 为 DB9 母 头 的 ， 
如 图 3. 2 所 示 。 两 端 可 以 分 别 插入 计算 机 的 串口 
和 网 络 设备 的 Console 口 ,现在 的 笔记 本 电脑 基 
本 已 经 不 带 串 口 , 需 要 使 用 USB 转 串 口 的 转 接 
3.1 两 端 均 为 DB9 母 头 的 配置 线 缆 器 ;第 三 种 为 一 端 是 DB9 母 头 , 另 一 端 是 RJ-45 头 
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的 配置 线 缆 , 如 图 3. 3 所 示 。 


图 3.2 一 端 是 DB9 母 头 , 另 一 端 是 DB9 图 3.3 一 端 是 DB9 母 头 , 另 一 端 是 
公 头 的 配置 线 缆 RJ-45 头 的 配置 线 缆 


通过 Console 口 连接 并 配置 网 络 设 备 , 是 配置 和 管理 企业 级 网 络 设备 的 必要 步骤 。 
为 其 他 配置 方式 往往 需要 借助 网 络 设备 的 IP 地 址 、 域 名 或 设备 名 称 才 可 以 实现 ,而 新 购买 
的 网 络 设备 显然 不 可 能 内 置 有 这 些 参数 ,所 以 Console 口 是 最 常用 .最 基本 的 网 络 设备 管理 
和 配置 端口 。 

不 同类 型 的 网 络 设备 其 Console 口 所 处 设备 的 位 置 不 相同 ,有 的 位 于 前 面板 ,有 的 位 于 
后 面板 。 通 常 ,模块 化 网 络 设备 大 多 位 于 前 面板 ,而 固定 配置 网 络 设备 则 大 多 位 于 后 面板 。 
在 该 端口 的 上 方 或 侧 方 都 会 有 类 似 CONSOLE 或 Console 字样 的 标识 。 

除 位 置 不 同 外 ,Console 口 的 类 型 也 有 所 不 同 , 绝 大 多 数 网 络 设备 都 采用 RJ-45 口 ,但 也 
有 少数 采用 DB9 串口 端口 或 DB25 串口 端口 。 

通过 Console 口 访问 网 络 设备 的 过 程 如 下 。 

(1) 准备 工作 。 

用 配置 线 将 计算 机 COMI 口 和 网 络 设备 的 Console 口 连接 起 来 ,开启 计算 机 和 网 络 
设备 。 

(2) 打开 计算 机 操作 系统 的 超级 终端 程序 。 

在 Windows 中 依次 选择 “开始 ”一 “程序 ”>“ 附 件 ” 一 “通信 ”, 单 击 通 信和 菜单 下 的 “超级 
终端 "程序 。 在 “连接 描述 "对话 框 中 ,为 连接 设置 一 个 名 称 ,如 switch; 同 时 为 连接 选择 一 个 
图 标 。 单 击 “ 确 定 ” 按 钮 ,在 “连接 到 ”窗口 中 的 “连接 时 使 用 ”下 拉 菜 单 中 选择 计算 机 的 
COMI1 端口 。 单 击 “ 确 定 ” 按 钮 。 使 用 笔记 本 电脑 时 ,由 于 笔记 本 电脑 通常 没有 COM H, 
所 以 需要 使 用 USB 转 COM 口 的 转 接 器 ,同时 需要 安装 设备 的 驱动 程序 ,否则 不 会 出 现 
串口 。 

(3) 设置 通信 参数 。 

在 COMI 属性 窗口 中 ,将 对 端口 COMI1 属性 进行 设置 ,包括 设置 “每 秒 位 数 ”“ 数 据 位 ” 
“奇偶 校 验 “停止 位 “数据 流 控制 ”?。 由 于 网 络 设备 出 厂 时 Console 口 的 通信 波 特 率 通 常 为 
96000b/s, 因 此 在 COMI 属性 窗口 中 单 击 “还 原 默认 值 ” 按 钮 ,默认 值 为 : 每 秒 位 数 为 
“96000”, 数 据 位 为 “8”, 奇 偶 校 验 为 “无 ”, 停 止 位 为 *1”, 数 据 流 控制 为 “无 "。 单 击 “ 确 定 ” 按 
钮 ,并 且 按 回 车 键 ,此 时 在 超级 终端 窗口 中 开始 加 载 网 络 设备 操作 系统 。 

加 载 完 操作 系统 后 ,可 以 对 网 络 设备 进行 配置 。 如 果 确 定 连 线 没有 问题 ,超级 终端 回 车 
没有 反应 ,这 时 很 有 可 能 是 网 络 设备 的 Console 口 的 通信 波 特 率 被 修改 了 。 此 时 需要 修改 
COMI 口 属性 对 话 框 的 波 特 率 并 逐一 进行 测试 。 
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3.2 网 络 设备 的 基本 配置 


3.2.1 网 络 设备 的 常见 配置 模式 


常见 的 网 络 设备 配置 模式 有 6 种 ,分 别 为 用 户 模式 .特权 模式 .全 局 配置 模式 、 线 路 配置 
模式 .端口 配置 模式 以 及 VLAN 配置 模式 等 。 
1. 用 户 模式 


Router> 


用 户 模式 网 络 设备 开机 直接 进入 的 配置 模式 。 在 该 模式 下 只 能 查询 交换 机 的 一 些 基本 信 
息 , 如 版 本 号 (show version) 等 。 
2. 特权 模式 


Router# 
:普通 用 户 模式 下 输入 “enable” 命 令 即 可 进入 特权 用 户 模式 ,在 该 模式 下 可 以 查看 网 
络 设备 的 配置 信息 和 调试 信息 等 ,具体 配置 命令 如 下 。 


Router» enable 
Router 


通过 exit 命令 退回 到 用 户 模式 。 

3. 全 局 配置 模式 

在 特权 用 户 模 式 下 输入 “configure terminal” 命 令 即 可 进入 全 局 配置 模式 ,在 该 模式 下 
主要 完成 全 局 参数 的 配置 ,具体 配置 命令 如 下 。 


Router# configure terminal 
Enter configuration commands, one per line. End with CNTL/Z. 


Router (config)$ 
通过 exit 命令 可 以 退回 到 特权 模式 。 


Router (config)# exit 
Routerf 


4. 线路 配置 模式 

在 全 局 配置 模式 下 输入 “line console console-list” 或 者 “line vty vty-list” 进 入 Line 线路 
配置 模式 。 该 模式 主要 对 控制 台 端口 或 虚拟 终端 VTY 进行 配置 。 其 配置 可 以 设置 控制 台 
和 虚拟 终端 的 用 户 级 登录 密码 ,以 及 其 他 与 该 配置 模式 有 关 的 配置 。 进 入 控制 台 的 具体 配 
BA. 


Router (config) # line console 0 


Router (config- line) # 


进入 编号 为 0 的 控制 台 端口 。 
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Router (config-line)fexit 

Router (config) # 

通过 exit 命令 退回 到 全 局 配置 模式 。 

进入 虚拟 终端 VTY 的 具体 配置 如 下 。 

Router (config)# line vty 0 4 

Router (config- line) # 

进入 虚拟 终端 配置 模式 ,表示 将 对 VTY 的 0~4 号 端口 ( 即 0 号 .1 号 .2 号 ,3 号 .4 号 ) 
进行 配置 。 


Router (config- line)#exit 
Router (config) # 


通过 exit 命令 退回 到 全 局 配置 模式 。 

5. 端口 配置 模式 

在 全 局 配置 模式 下 输入 “interface interface-list” 即 可 进入 相应 端口 配置 模式 ,在 该 模式 
下 主要 完成 端口 参数 的 配置 。 进 入 端口 fa0/0 的 配置 如 下 。 


Router (config)# interface fastEthernet 0/0 
Router (config- if)# 


表示 进入 路 由 器 fastEthernet0/0 端口 ,即将 对 该 端口 进行 配置 。 


Router (config-if)fexit 


Router (config) # 


通过 exit 命令 退回 到 全 局 配置 模式 。 

6. VLAN 配置 模式 

在 全 局 配置 模式 下 输入 “vlan vlan-number” 即 可 进入 vlan 配置 模式 ,在 该 配置 模式 下 
可 以 完成 VLAN 的 一 些 相关 配置 。 进 入 VLANI 的 具体 配置 如 下 。 


Switch (config)# interface vlan 1 
Switch (config— if)# 


进入 vlan 端口 模式 。 


Router (config-if)fexit 
Router (config)$ 


通过 exit 命令 退回 到 全 局 配置 模式 ,VLAN 配置 模式 只 能 在 网 络 设备 交换 机 中 配置 。 
3.2.2 ”网络 设备 的 常见 配置 命令 


1. 为 设备 配置 主机 名 
利用 命令 hostname 对 网 络 设备 进行 命名 。 对 路 由 器 设备 命名 的 配置 如 下 。 


Router (config)#hostname R1 
R1 (config)# 
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利用 no hostname 命令 将 设备 名 称 恢复 为 配置 前 的 名 称 。 


R1 (config)# no hostname 
Router (config) # 


对 交换 机 设备 命名 ,具体 配置 如 下 。 


Switch (config)#hostname S1 
S1 (config) # 


2. 显示 配置 命令 
显示 配置 命令 “show” 用 于 帮助 用 户 查 看 相关 信息 ,根据 “show” 命 令 后 面 的 参数 决定 显 
示 信 息 的 内 容 。 该 命令 可 以 同时 在 用 户 模式 和 特权 模式 下 运行 ,常见 的 参数 如 下 。 


Router# show running- config 
用 于 查看 当前 的 运行 配置 。 
Router# show version 
用 于 查看 网 络 设备 运行 操作 系统 版 本 及 相关 引导 信息 。 
Router# show startup- config 
用 于 查看 保存 的 配置 信息 。 
Router# show ip route 


用 于 查看 路 由 信息 。 

3. 网络 设备 特权 加 密 口令 设置 

网 络 设备 不 同 配 置 模式 下 可 执行 的 命令 是 不 同 的 ,用 户 模 式 可 执行 的 命令 明显 少 于 特权 
模式 下 可 执行 的 命令 ,特权 模式 的 权限 高 于 用 户 模式 。 通 过 enable 命令 可 以 将 网 络 设备 从 用 
户 模式 直接 切换 成 特权 模式 ,这 样 的 切换 若 不 加 以 限制 ,会 对 网 络 设备 的 安全 造成 威胁 。 

CD 通过 设置 使 能 密码 加 强 设备 的 安全 性 ,具体 配置 过 程 如 下 。 


Router> enable 

Router# configure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Router (config) # enable password 123456 

Router (config)# 


通过 以 上 命令 将 网 络 设备 的 使 能 密码 设置 为 123456。 若 通过 enable 命令 从 用 户 模 式 
进入 特权 模式 ,此 时 需要 输入 密码 。 具 体 过 程 如 下 。 


Router> enable 
Router» enable 
Password: 


Routerf 


在 将 网 络 设备 的 工作 模式 由 用 户 模式 切换 到 特权 模式 时 ,需要 输入 密码 “123456”, 只 有 
密码 输入 正确 ,才能 顺利 进入 特权 模式 ,才能 对 设备 进行 进一步 的 配置 。 
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(2) 通过 对 使 能 口令 进行 加 密 加 强 口 令 的 安全 性 。 

使 能 密码 的 设置 在 一 定 程度 上 不 是 太 安 全 ,通过 show 命令 查看 配置 信息 时 ,可 以 看 到 
加 密 的 明文 密码 。 下 面 是 通过 命令 “Router# show running-config” 查 看 到 的 配置 信息 ,并 
且 可 以 看 到 明文 的 使 能 密码 为 123456, 如 图 3.4 所 示 。 

通过 执行 命令 “Router(config) # service password-encryption”, 可 以 实现 对 使 能 口令 
进行 加 密 。 具 体操 作 如 下 。 


Router (config)#enable password 123456 


Router (config)# service password- encryption 


通过 命令 “Router# show running-config”, 查 看 网 络 设 备 运行 的 配置 信息 。 显 示 结 
如 图 3.5 所 示 。 通 过 显示 结果 可 以 看 出 ,原本 的 明文 密码 123456 变 成 一 串 密 文 信息 。 


Rourer#show running-config 
Building configuration... Router$show run 
Building configuration... 


Current configuration : 475 bytes 
' 


Current configuration : 482 bytes 
version 12.4 ' 


no service timestamps log datetime msec |version 12.4 
no service timestamps debug datetime msec |no service timestamps log datetime msec 
no service passuord-encryption no service timestamps debug datetime msec 


' sezvice password-encryption 
hostname Router ! 

上 hostname Router 

! 

' ' 

enable password 123456 ' 

' enable password 7 08701E1D5D4CS3 
' ! 
! 

' 


' 
! 
以 下 显示 省 略 : 以 下 显示 省 略 


图 3.4 可 以 直接 查看 到 的 明文 密码 信息 图 3.5 对 使 能 密码 进行 加 密 


G) 通过 设置 加 密 口令 增强 设备 的 安全 性 。 
除了 通过 命令 “Router(config) # service password-encryption” 对 使 能 口令 进行 加 密 以 
增强 安全 性 外 ,还 可 以 直接 设置 加 密 口令 。 具 体 设置 如 下 。 


Router (config)#enable secret 123 


通过 show 命令 查看 配置 命令 结果 如 图 3.6 所 示 。 


ter$show running-config 
Building configuration... 


Current configuration : 499 bytes 

' 

version 12.4 

no service timestamps log datetime msec 
no service timestamps debug datetime msec 
no service password-encryption 

' 

hostname Router 

' 

' 

1 

enable secret 5 Sl$mERr$3HhIgMCBA/SqNmgzccuxvü 
' 

' 


图 3.6 查看 配置 情况 


33 


网 络 互 联 技术 与 实践 


34 


可 以 看 出 ,口令 *123? 在 配置 文件 中 以 MD5 加 密 的 密 文 形式 显示 。 

4. 帮助 命令 

在 配置 网 络 设备 的 过 程 中 ,如 果 有 记 不 住 的 命令 以 及 命令 格式 ,可 以 通过 在 命令 提示 符 
下 输入 “?” 请 求 帮助 。 

CD 查看 所 在 模式 下 可 执行 的 命令 。 


Router»? 


该 命令 可 以 查看 用 户 模式 下 可 执行 的 命令 。 
(2) 查看 特权 模式 下 可 执行 的 命令 。 


Router#? 
(3) 查看 用 户 模式 下 以 字母 e 开头 的 命令 。 


Router>e? 
enable exit 


(4) 查看 命令 所 带 的 格式 参数 。 


Router>enable ? 
<0-15>Enable level 


view Set into the existing view 


5. 命令 简写 

在 网 络 设备 的 具体 配置 过 程 中 ,有 时 候 并 不 需要 输入 完整 的 命令 格式 。 可 以 通过 命令 
简写 对 设备 进行 配置 。 

Router> en 

Router# 


在 通过 命令 enable 将 设备 的 工作 模式 由 用 户 模式 切换 成 特权 模式 时 ,只 输入 en 即 可 。 
原因 是 ,在 用 户 模式 下 可 执行 的 命令 中 ,以 en 开头 的 命令 只 有 enable, 也 就 是 en 能 够 唯一 
确定 命令 enable 。 如 果 仅 输入 命令 e, 由 于 以 e 开 头 的 命令 有 两 个 ,分 别 为 enable 以 及 
exit, 不 能 唯一 确定 ,所 以 执行 出 错 , 如 下 所 示 。 


Router>e 


% Ambiguous command: "e" 


6. 通过 Tab 键 自动 补 齐 


Router# en< tab» 
Router# enable 


在 该 模式 下 以 en 开头 的 命令 只 有 enable, 因 此 在 该 情况 下 可 以 实现 自动 补 齐 。 若 此 时 
以 en 开头 的 命令 不 止 一 个 , 则 自动 补 齐 失败 。 

7. 取消 操作 命令 

在 网 络 设备 的 配置 过 程 中 ,有 时 需要 清除 已 经 配置 的 命令 参数 ,此 时 可 以 采用 取消 命令 
no 完成 ,以 下 是 通过 取消 命令 no 对 设置 的 特权 口令 进行 取消 的 操作 。 
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Router (config)#enable password 123 设置 特权 口令 
Router (config)#no enable password 取消 特权 口令 


经 过 取消 后 ,又 恢复 成 没有 设置 特权 口令 的 状态 。 在 网 络 设备 配置 过 程 中 有 时 需要 将 
关闭 的 端口 打开 ,关闭 端口 状态 一 般 为 shutdown, 使 用 “no shutdown” 命 令 可 以 对 关闭 端口 
shutdown 进行 相反 操作 , 即 打开 端口 。 具 体 配置 如 下 。 


Router (config)# interface fastEthernet 0/1 

Router (config- if)#no shutdown 

% LINK- 5- CHANGED: Interface FastEthernet0/1l, changed state to up 

8. 历史 记录 

配置 网 络 设备 时 ,经 常会 遇 到 以 下 几 种 情况 : 需要 重复 执行 已 经 执行 过 的 命令 ; 
加 由 于 打 错 命令 导致 执行 错误 ,需要 对 命令 进行 修改 后 再 次 执行 ; @@ 需 要 掌握 最 近 对 设备 
所 输入 的 配置 命令 情况 。 以 上 情况 可 以 使 用 设备 上 的 命令 缓存 ,通过 调和 人 命令 缓存 中 的 历 
史记 录 解 决 。 具 体 查 看 历史 记录 操作 如 下 : OEH Ctrl 十 P 组 合 键 ,或 者 使 用 上 箭头 向 上 
查找 先前 使 用 的 命令 ; @ 使 用 Ctrl+N 组 合 键 ,或 者 使 用 下 箭头 向 下 查找 先前 使 用 的 命令 ; 
回 通过 使 用 命令 show history 查看 历史 命令 缓存 。 通 过 执行 命令 show history 查看 历史 命 
令 过 程 如 下 。 

Router# show history 

enable 

configure terminal 


show history 


以 上 通过 show history 命令 可 以 查看 到 已 经 配置 过 的 保存 在 缓存 中 的 命令 。 默 认 情 况 
下 ,Cisco 设备 缓存 保存 最 近 执行 过 的 10 条 命令 。 关 于 历史 缓存 中 可 以 保存 历史 命令 的 数 
目 , 可 以 通过 以 下 命令 进行 修改 。 

Router (config)# line console 0 

Router (config- line) # history size ? 

<0- 256» Size of history buffer 

Router (config- line)fhistory size 3 

以 上 命令 将 历史 缓存 数量 设置 为 3。 在 实际 的 工程 项 目 中 ,为 了 设备 的 安全 ,防止 别人 
了 解 设备 执行 过 的 命令 情况 ,往往 将 历史 缓存 数值 设置 为 0, 通 过 命令 show history 查看 不 
到 该 设备 已 经 执行 过 的 命令 情况 。 

9. 设置 控制 台 口 令 , 加 强 设备 安全 性 

前 面 提 到 通过 设置 使 能 特权 口令 以 及 加 密 特 权 口 令 , 可 以 防止 非 授权 用 户 直接 从 用 户 
模式 进入 特权 模式 ,但 不 能 限制 非 授权 用 户 进 入 普通 用 户 模式 , 非 授 权 用 户 通 过 用 户 模式 同 
样 可 以 执行 相关 命令 操作 设备 ,从 而 对 设备 安全 造成 影响 。 通 过 设置 控制 台 口 令 可 以 防止 
非 授权 用 户 直接 进入 用 户 模式 ,具体 配置 如 下 。 


Router# config t 
Router (config) # line console 0 
Router (config- line)# password 123 
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Router (config- line)# login 
再 次 进入 设备 时 ,显示 结果 如 下 。 


User Access Verification 


Password: 


此 时 只 有 输入 正确 的 口令 ,才能 进入 用 户 模 式 , 加 强 设备 的 安全 性 。 此 时 仅 通 过 设置 口 
令 的 方式 限制 用 户 进入 普通 用 户 模 式 不 是 最 佳 的 选择 ,为 了 限制 用 户 进入 用 户 模式 ,可 以 同 
时 设置 用 户 名 和 口令 的 方式 对 身份 进行 验证 ,从 而 加 强 设备 的 安全 性 。 具 体 配置 如 下 。 


Router# configure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 

Router (config) # username tdp password 123 

Router (config)f line console 0 

Router (config- line)# login local 

配置 完成 后 ,通过 exit 命令 退出 系统 , 当 再 次 进入 系统 时 ,需要 同时 输入 用 户 名 和 口 
令 , 两 者 同时 匹配 才能 进入 系统 的 用 户 模式 。 具 体 如 下 。 

User Access Verification 

Username: tdp 

Password: 

Router» 

10. 取消 域名 解析 命令 

在 对 网 络 设备 进行 配置 过 程 中 ,有 时 容易 输 错 命令 ,默认 情况 下 ,网 络 设备 执行 错误 命 
令 时 往往 将 错误 命令 当成 域名 进行 解析 ,从 而 导致 整个 过 程 耗 时 较 长 。 为 了 避免 较 长 的 域 
名 解析 过 程 ,通常 需要 关闭 网 络 设备 域名 解析 功能 。 

输入 错误 命令 同时 没有 关闭 域名 解析 功能 ,需要 等 待 系统 域名 解析 过 程 的 情况 如 下 : 

Router> enble 

Translating "enble"...domain server (255.255.255.255) 


通过 关闭 网 络 设备 域名 解析 功能 ,可 以 避免 网 络 设备 配置 人 员 长 时 间 等 待 。 关 闭 网 络 
设备 域名 解析 过 程 的 配置 如 下 。 


Router (config)#no ip domain- lookup 
再 次 输入 错误 的 命令 ,系统 执行 效果 如 下 。 


Router» enble 

Translating "enble" 

$ Unknown command or computer name, or unable to find computer address 
Router» 


结果 显示 ,输入 错误 命令 时 系统 直接 报错 ,而 不 再 进行 域名 解析 导致 配置 人 员 长 时 间 等 
待 了 。 

11. 开启 日 志 同 步 

在 对 网 络 设备 进行 配置 过 程 中 ,有 时 系统 自动 弹出 日 志 信 息 ,这些 日 志 信息 会 阻隔 网 络 


36 


第 3 章 网 络 设备 基本 配置 


设备 配置 人 员 痪 人 的 命令 ,从 而 影响 命令 的 输入 ,通过 开启 日 志 同 步 命令 之 后 ,日 志 信息 不 
会 分 隔 敲 到 一 半 的 命令 行 。 


开启 日 志 同 步 的 具体 命令 如 下 。 

Router (config)#1ine console 0 

Router (config- line)# logging synchronous 

12. 设置 控制 台 会 话 超时 时 间 

控制 台 EXEC 会 话 超时 时 间 默 认为 10min。 也 就 是 说 , 当 没 有 对 系统 进行 任何 操作 的 


情况 下 ,系统 会 在 10min 后 自动 退出 。 通 过 exec-timeout 命令 可 以 设置 超时 时 间 ,通常 情 
况 下 设置 永 不 超时 ,也 就 是 不 让 系统 自动 退出 ,配置 方法 如 下 。 


Router (config- line)£ exec- timeout 0 0 


命令 行 中 的 ”0 0” 的 含义 如 下 : 前 面 的 “0? 设 置 的 是 分 钟 , 后 面 的 “0 设置 的 是 秒 。 设 置 


参数 值 *0 0" 表 示 系 统 永 不 超时 ,不 会 自动 退出 。 


13. 标语 命令 配置 
标语 命令 banner 用 于 设置 登录 网 络 设备 时 显示 的 警示 性 信息 ,用 来 警示 入 侵 者 。 具 体 


配置 过 程 如 下 。 


Router# config terminal 

Enter configuration commands, one per line. End with CNTL/Z. 

Router (config)#banner motd $ // 表 明 以 下 警示 语 以 $ 符 号 结束 

Enter TEXT message. End with the character '$'. 

Warning Don't configure my device, and if configured, you're going to be responsible for the 


consequences!!! $ 
当 退 出 系统 再 次 进入 时 ,系统 将 显示 如 下 信息 。 


Press RETURN to get started. 

Warning Don't configure my device, and if configured, you're going to be responsible for the 
consequences! ! ! // 对 入 侵 者 加 以 警示 

Router> 

14. 为 网 络 设备 配置 地 址 信息 

为 路 由 器 端口 "fastEthernet 0/0” 配 置 网 络 参数 ,将 其 IP 地 址 配置 为 192. 168. 1. 1, F 


网 抢 码 配置 为 255. 255. 255.0, 具 体 配置 过 程 如 下 。 
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Router (config)# interface fastEthernet 0/0 
Router (config- if)# ip address 192.168.1.1 255.255.255.0 
Router (config- if)# no shutdown 


为 交换 机 VLANI 配置 网 络 参数 ,将 其 IP 地 址 配置 为 192. 168. 1. 1. P RO Em BO EOS 


.255.255.0, 具 体 配置 过 程 如 下 。 


Switch (config)# interface vlan 1 
Switch (config- if)# ip address 192.168.1.1 255.255.255.0 
Switch (config- if)# no shu 
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% LINK- 5- CHANGED: Interface Vlanl, changed state to up 


15. 保存 配置 

首先 介绍 什么 是 running-config 和 startup-config。 

(1) running-config 指 的 是 网 络 设备 目前 正在 运行 的 、 当 前 的 配置 。 这 个 配置 在 设备 的 
运行 内 存 中 。 随 着 系统 关机 或 重启 ,该 配置 会 丢失 。 

(2) startup-config 指 的 是 网 络 设备 在 启动 时 ,系统 初始 化 需要 引导 的 配置 。 这 个 配置 
保存 在 网 络 设备 的 nvram 可 探 除 存储 器 中 。 在 系统 关机 或 重启 后 ,这 个 配置 信息 不 会 
XX. 

在 对 网 络 设备 进行 配置 时 ,命令 及 时 生效 ,配置 结果 体现 在 running-config 配置 文件 
中 , 当 网 络 设备 关机 或 重启 时 ,配置 会 丢失 。 所 以 ,通常 将 配置 文件 保存 到 nvram "TEARS TE 
储 器 中 ,避免 重启 或 关闭 时 配置 信息 丢失 。 具 体操 作 如 下 。 


Switch# copy running- config startup- config 
Destination filename [startup- config]? 
Building configuration... 

[OK] 

Switch# 


该 命令 的 效果 是 将 设备 正在 运行 的 配置 文件 running-config 保存 到 nvram 可 擦 除 存储 
器 中 。 因 此 ,每 次 在 对 网 络 设备 路 由 器 或 者 交换 机 作 新 配置 时 ,如 果 不 希 望 由 于 系统 关机 或 
重启 而 丢失 , 则 需要 使 用 命令 copy running-config startup-config 进行 保存 。 

除了 使 用 copy running-config startup-config 保存 配置 信息 ,还 可 以 直接 通过 命令 
write 对 设备 的 配置 信息 进行 保存 ,具体 操作 如 下 。 


Router#write 

Building configuration... 

[OK] 

Router# 

16. 对 网 络 设备 进行 批量 配置 

在 网 络 工程 中 对 大 量 的 网 络 设备 进行 配置 ,工作 量 相当 大 。 对 于 统一 购买 的 网 络 设备 ， 
往往 需要 对 它们 进行 统一 的 初始 化 配置 ,如 果 对 每 台 设备 进行 逐条 命令 输入 ,将 消耗 大 量 的 
精力 。 为 了 减轻 工作 量 , 此 时 可 以 进行 一 次 性 批量 配置 处 理 。 通 过 在 记事 本 中 一 次 输入 多 
条 命令 ,将 这 些 命令 一 次 性 粘贴 到 网 络 设备 配置 窗口 中 ,可 以 对 网 络 设备 进行 批量 配置 。 

对 网 络 设备 进行 批量 配置 ,具体 过 程 如 下 : 首先 将 网 络 设备 共同 需要 配置 的 命令 写 在 
记事 本 上 ,如 图 3.7 所 示 。 这 里 特别 注意 设备 配置 命令 的 前 后 连贯 性 , 即 执行 命令 的 工作 模 
式 一 定 要 吻合 。 

然后 在 所 有 需要 初始 化 的 设备 的 配置 窗口 中 一 次 性 粘贴 这 些 命令 ,如 图 3. 8 和 图 3.9 
所 示 。 

这 样 可 以 大 大 节约 时 间 , 并 且 能 够 保证 所 有 设备 都 进行 相同 的 初始 化 配置 。 
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——- System Configuration Dialog — 


B zaa- ck Continue with configuration dialog? [yes/no]: n 
XHA SRE 格式 (O) EEV 帮助 (H) 

en 

config t 

interface fastethernet 0/0 

ip address 192.168.1.1 255.255.255.0 
exit 

enable password 123 


username tdp password 123456 
line console 0 on 
paseora a Oom 


login 


图 3.7 在 记事 本 中 输入 批量 命令 图 3.8 将 记事 本 中 的 批量 命令 粘贴 到 设备 的 配置 界面 中 


Press RETURN to get started! 


IRouter» 
Router>; 


Router>en 
Router$config t 

Enter configuration commands, one per line. End with CNTL/Z 
Router (config) $interface fastethernet 0/0 
Router(config-if)fip address 192.168.1.1 255.255.255.0 
Router(config-if)fexit 

Router(config)fenable password 123 

Router (config) $username tdp password 12345€ 


Router (config) $line console 0 
Router(config-line)$password 321 
Router (config-line)$login 


图 3.9 网 络 设备 执行 批量 命令 结果 


3.3 利用 Telnet 对 网 络 设备 进行 配置 


利用 控制 台 Console 口 和 计算 机 串口 相连 对 网 络 设备 进行 配置 ,是 对 网 络 设备 进行 配 
置 的 基本 方法 ,该 配置 方式 的 弊端 是 必须 将 计算 机 的 串口 利用 全 反 线 和 网 络 设备 的 
Console 口 相连 ,而 全 反 线 的 长 度 是 受 限 制 的 ,这 样 计算 机 和 被 配置 设备 物理 上 要 求 靠 近 ， 
这 给 远 距离 对 网 络 设备 进行 配置 造成 一 定 的 困难 。Telnet 远程 配置 可 以 解决 远 距 离 对 网 
络 设备 进行 配置 的 问题 。 具 体 利用 任意 联网 计算 机 ,通过 Telnet 远程 登录 网 络 设备 ,并 对 
其 进行 配置 。 

下 面 分 别 探讨 交换 机 和 路 由 器 这 两 种 设备 利用 Telnet 进行 配置 的 方法 。 


3.3.1 利用 Telnet 对 路 由 器 进行 远程 配置 


利用 Telnet 对 路 由 器 进行 配置 结构 图 如 图 3. 10 所 示 ,笔记本 电脑 利用 路 由 器 控制 台 
Console 口 对 其 进行 初始 化 配置 。 电 脑 PC0 ,交换 机 及 路 由 器 连接 成 一 个 网 络 。 通 过 该 网 
络 可 以 远程 登录 (Telnet) 路 由 器 ,从 而 对 路 由 器 进行 配置 。 

若 要 实现 远程 登录 对 路 由 器 进行 配置 ,需要 互联 互通 的 网 络 环境 。 图 3. 10 所 示 网 络 环 
境 的 搭建 需要 进行 基本 的 网 络 配置 ,具体 如 下 。 

首先 在 笔记 本 电脑 上 执行 超级 终端 程序 .利用 路 由 器 控制 台 对 其 进行 基本 配置 。 下 面 
是 对 路 由 器 端口 fo/0 配置 其 网 络 地 址 。 


Router (config)# interface fastEthernet 0/0 
Router (config- if)# ip address 192.168.1.1 255.255.255.0 
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路 由 器 f/0 — IP: 192.168.1.1 
子 网 掩 码 : 255.255.255.0 


f0/0 


Console[1 串口 


Router3 Laptop-PT 
笔记 本 电脑 


Switch0 


e IP: 192.168.1.2 
PC-PT FRENG: 255.255.255.0 


E 3.10 利用 Telnet 对 路 由 器 进行 配置 结构 图 

Router (config- if)# no shutdown 

若 通 过 Telnet 对 网 络 设备 进行 配置 ,需要 配置 设备 的 使 能 口令 ,命令 如 下 。 

Router (config)# enable password 321 

另外 需要 配置 远程 登录 线路 口令 ,具体 如 下 。 

Router (config)# line vty 0 4 

该 命令 表示 配置 远程 登录 线路 ,“0 4” 是 远程 登录 的 线路 编号 ,“vty”(virtual teletype 
terminal) 表 示 虚 拟 终端 ,一 种 网 络 设备 连接 方式 ,表示 下 面 是 对 vty 的 0 到 4 号 端口 ( 即 0 
号 .1 号 .2 号 ,3 号 .4 号) 进行 配置 。vty 线路 指 的 是 我 们 进行 Telnet 的 时 候 使 用 的 线路 。 
“0 4” 具 体 指 的 是 对 从 第 一 个 Telnet 到 第 五 个 Telnet 线路 进行 设置 , 即 同时 可 以 有 5 条 线 
路 进入 虚拟 终端 。 


Router (config- line) # password 123 // 配 置 远程 登录 口令 
Router (config- line)# login // 要 求 口令 验证 


接 下 来 如 图 3. 10 所 示 配 置 终端 计算 机 PCO 网 络 地 址 参数 ,通过 计算 机 PCO 远程 登录 
对 路 由 器 进行 配置 。 


PC> telnet 192.168.1.1 

Trying 192.168.1.1 ...Open 

Warning Don't configure my device, and if configured, you're going to be responsible for the 
consequences! ! ! 


User Access Verification 


Password: // 输 入 口令 321 
Router>en 

Router»enable 

Password: // 输 入 口令 123 
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Router# 


如 果 需 要 在 PCO 远程 登录 时 既 要 输入 用 户 名 ,又 要 输入 口令 进行 验证 ,此 时 需要 通过 
控制 台 对 路 由 器 做 如 下 配置 。 


Router (config) # username tdp password 321 
Router (config) # line vty 0 4 
Router (config- line) # login local 


再 次 验证 通过 PCO 远程 登录 路 由 器 对 路 由 器 进行 配置 的 过 程 如 下 。 


PC> telnet 192.168.1.1 

Trying 192.168.1.1 ..Open 

Warning Don't configure my device, and if configured, you're going to be responsible for the 
consequences! ! ! 


User Access Verification 


Username: tdp // 输 入 用 户 名 tap 
Password: // 输 入 口令 321 
Router>en 

Password: // 输 入 特权 口令 123 
Router# 


3.3.2 利用 Telnet 对 交换 机 进行 远程 配置 
利用 Telnet 对 交换 机 进行 配置 结构 图 如 图 3. 11 所 示 。 


交换 机 VLANI1 
IP: 192.168.1.1 
子 网 掩 码 : 255.255.255.0 


Laptop-PT 
2960-24TT cer eat 
Switchl 笔记 本 电脑 
PC-PT IP: 192.168.1.2 
PCI 子 网 掩 码 : 255.255.255.0 


图 3.11 利用 Telnet 对 交换 机 进行 配置 结构 图 


首先 在 笔记 本 电脑 上 利用 交换 机 控制 台 Console 口 对 交换 机 进行 基本 配置 ,包括 配置 
交换 机 管理 地 址 一 一 VLAN1 地 址 。 默 认 情 况 下 ,交换 机 的 所 有 端口 均 属于 VLANI, 
VLANI 是 交换 机 默认 VLAN, 每 个 VLAN 只 有 一 个 活动 的 管理 地 址 ,因此 对 交换 机 设置 
管理 地 址 ,首先 选择 VLANI 端口 ,俗称 交换 机 虚拟 端口 (Switch Virtual Interface, SVD 。 
配置 交换 机 VLANI 网 络 地 址 参数 ,具体 如 下 。 


Switch# configure terminal 


41 


网 络 互联 技术 与 实践 


Enter configuration commands, one per line. End with CNTL/Z. 
Switch (config)# interface vlan 1 

Switch (config- if)# ip address 192.168.1.1 255.255.255.0 
Switch (config- if)# no shu 


接 下 来 为 Telnet 用 户 配置 用 户 名 和 登录 口令 。 


Switch (config)# line vty 0 4 


Switch (config- line) # password 123 // 设 置 远程 登录 访问 密码 

Switch (config- line)# login // 要 求 口令 验证 ,打开 登录 认证 功能 

Switch (config-line)fexit 

Switch (config)# enable password 321 // 设 置 使 能 口令 

为 PCI 配置 网 络 地 址 ,如 图 3. 11 所 示 ,IP 为 192. 168. 1. 2, 子 网 掩 码 为 255. 255. 255. 0。 
通过 计算 机 远程 登录 交换 机 过 程 如 下 。 


PC> telnet 192.168.1.1 
Trying 192.168.1.1 ...Open 


User Access Verification 


Password: // 输 入 口令 123 
Switch> enable 

Password: // 输 入 使 能 口令 321 
Switch# 


如 果 同 时 需要 利用 用 户 名 和 密码 进行 登录 验证 , 则 需要 进行 如 下 配置 。 


Switch (config)#username tdp password 123 // 设 置 登录 用 户 名 和 口令 
Switch (config)#1ine vty 0 4 
Switch (config- line)# login local 


通过 计算 机 远程 登录 交换 机 过 程 如 下 。 


PC> telnet 192.168.1.1 
Trying 192.168.1.1 ..Open 
User Access Verification 


Username: tdp 


Password: // 输 入 口令 123 
Switch> en 

Password: // 输 入 使 能 口令 321 
Switch# 


3.4 利用 Web 对 路 由 器 进行 配置 


利用 Web 对 路 由 器 进行 配置 ,需要 完成 如 下 基本 操作 。 首 先 对 路 由 器 进行 基本 配置 ， 
具体 配置 过 程 如 下 。 

(1) 在 路 由 器 配置 模式 下 执行 ip http server 命令 。 

(2) 同 在 配置 模式 下 ,使 用 ip http authentication 命令 选择 认证 方式 。 
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G) 为 路 由 器 配置 端口 IP 地 址 。 

对 计算 机 进行 的 相关 操作 如 下 。 

CD 在 IE 浏览 器 的 地 址 栏 中 输入 路 由 器 端口 IP 并 回 车 。 

(2) 从 Web Console 里 下 载 并 安装 java plug-in 即 可 。 另 外 ,不 是 所 有 的 路 由 器 iOS 都 
支持 Web 方 式 。 


3.5 利用 Web 对 交换 机 进行 配置 


利用 Web 对 交换 机 进行 配置 ,需要 完成 如 下 基本 操作 。 首 先 对 交换 机 进行 基本 配置 ， 
具体 配置 过 程 如 下 。 

(1) 在 交换 机 配置 模式 下 执行 ip http server 命令 。 

(2) 同 在 配置 模式 下 ,使 用 ip http authentication 命令 选择 认证 方式 。 

(3) 为 交换 机 配置 管理 IP 地 址 。 

对 计算 机 进行 相关 操作 如 下 。 

CD 在 下 浏览 器 的 地 址 栏 中 输入 交换 机 管理 IP 并 回 车 。 

(2) 从 Web Console 里 下 载 并 安装 java plug-in 即 可 。 另 外 ,不 是 所 有 的 交换 机 IOS 都 
支持 Web 方式 。 


3.6 show 命令 集 


在 网 络 设备 配置 过 程 中 ,经 常 需要 查看 相关 配置 信息 、 系 统 配置 结果 以 及 网 络 设备 运行 
状态 ,利用 show 命令 可 以 查看 。 下 面 是 在 网 络 设备 配置 过 程 中 经 常 使 用 的 show 命令 。 

(1) show interfaces: 查看 所 有 端口 的 详细 信息 。 

(2) show interfaces fastEthernet 0/0: 查看 端口 fastEthernet 0/0 的 详细 信息 。 

(3) show ip interface brief: 查看 端口 的 简要 信息 。 

(4) show version: 查看 系统 硬件 的 配置 .软件 版 本 号 等 。 

(5) show running-config: 查看 网 络 设备 交换 机 或 路 由 器 当前 正在 运行 的 配置 信息 , 包 
括 设 备 名 称 、 密 码 .端口 配置 情况 等 ,位 于 网 络 设备 的 RAM 中 。 

(6) show startup-config: 查看 网 络 设备 交换 机 或 路 由 器 保存 在 NVRAM 中 的 配置 信息 , 包 
括 设 备 名 称 .密码 .端口 配置 情况 等 。 它 在 启动 网 络 设备 时 载 人 RAM, IA running-config。 

(7) show ip route; 查看 路 由 表 。 

(8) show ip nat translations: 查看 网 络 地 址 转换 情况 。 

(9) show flash: 显示 闪存 的 布局 和 内 容 信息 。 

(10) show cdp interface: 显示 打开 的 CDP 端口 信息 。 


3.7 CDP 


思科 发 现 协议 (Cisco Discovery Protocol.CDP) 是 由 思科 公司 推出 的 一 种 私有 的 二 层 
网 络 协议 , 它 能 够 运行 在 大 部 分 的 思科 设备 上 。 通 过 运行 CDP, 思 科 设 备 能 够 在 与 它们 直 
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连 的 设备 之 间 分 享有 关 操 作 系统 软件 版 本 ,以 及 IP 地 址 、 硬 件 平台 等 相关 信息 。 


这 个 协议 是 用 来 发 现 邻 居 的 ,也 是 Cisco 私有 协议 。 它 能 发 现 邻 居 是 因为 包 里 面 有 
TTL 字段 ,在 CDP 包 里 这 个 字段 为 1。 当 路 由 器 或 者 交换 机 收 到 这 个 信息 后 ,会 把 TTL 
值 减 1。 当 TTL 为 零 的 时 候 ,这 个 数据 将 不 会 再 进行 传递 了 ,所 以 使 用 这 个 协议 只 能 发 现 
邻居 。 如 图 3.12 所 示 ,Switchl 只 能 发 现 Router0 ,不 能 发 现 Switch0 。 具 体 命 令 “show 


cdp" 后 面 的 参数 如 下 。 
Router0# show cdp ? 
entry Information for specific neighbor entry 
interface CDP interface status and configuration 
neighbors CDP neighbor entries 
«cr» 


(1) show cdp neighbors: 显示 有 关 直 连 设备 的 信息 ,其 中 包括 设备 的 主机 名 、 接 收 数据 


包 的 端口 ` 保 持 时 间 、 邻 居 设 备 的 性 能 .设备 类 型 和 连接 的 端口 ID。 


本 


B 


(2) show cdp neighbors detail; 显示 邻居 详细 信息 ,包括 直 连 设备 的 TP 地 址 和 iOS 版 


Jo 
(3) show cdp entry * 与 show cdp neighbors detail 相同 。 
(4) show cdp entry * protocols: 显示 直 连 邻居 的 TP 地 址 。 
(5) show cdp entry * version: 显示 直 连 邻居 的 iOS 版 本 。 
(6) show cdp traffic: 显示 设备 发 送 和 接收 的 CDP 数据 包 。 


(7) show cdp interface: 显示 每 个 端口 使 用 的 CDP 信息 ,包括 线路 的 封装 类 型 .定时 器 


和 保持 时 间 。 


下 面 通过 例子 具体 探讨 CDP 的 作用 。 


CDP 要 发 挥 作用 ,首先 须 保 证 网 络 连通 性 ,图 3. 12 所 示 网 络 , 其 连通 性 具体 配置 如 下 。 


192.168.2.1/24 192.168.1.1/24 


2960-24TT 


2960-24TT 7s 
VLANI: pen 2.10024 onn "CO 
网 关 : 192.168.2.1 DE 1921681 192.168.1.100/24 
#1924684; 网 关 : 192.168.1.1 
图 3.12 CDP 网 络 拓扑 结构 
首先 对 路 由 器 Router0 进行 配置 。 
Router0 (config)# interface fastEthernet 0/0 // 进 入 端口 fa0/0 


Router0 (config- if)# ip address 192.168.2.1 255.255.255.0 // 配 置 IP 地 址 
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Router0 (config- if)# no shu // 激 活该 端口 
Router0 (config- if)#exit // 退 出 

Router0 (config)# interface fastEthernet 0/1 // 进 入 端口 fa0/1 
RouterÜ(config-if)fip address 192.168.1.1 255.255.255.0 ”// 配 置 IP 地 址 
Router0 (config- if)#no shu // 激 活 端口 


其 次 对 交换 机 Switch0 进行 配置 。 


// 进 入 交换 机 管理 端口 vlanl 
Switch0 (config- if)# ip address 192.168.2.100 255.255.255.0 “ // 配 置 IP 地 址 


Switch0 (config)# interface vlan 1 


Switch0 (config- if) #no shu // 激 活 

Switch0 (config- if)#exit // 退 出 

Switch0 (config)# ip default- gateway 192.168.2.1 // 配 置 默认 网 关 

最 后 对 交换 机 Switchl 进行 配置 。 

Switchl (config)# interface vlan 1 // 进 入 管理 端口 vlanl 
Switchl (config- if)# ip address 192.168.1.2 255.255.255.0  // 配 置 IP 地 址 
Switchl (config- if)# no shu // 激 活 

Switchl (config- if)#exit // 退 出 

Switchl (config)# ip default- gateway 192.168.1.1 // 配 置 默认 网 关 


另外 ,将 计算 机 IP 地 址 配置 为 192. 168. 1. 100 , 子 网 掩 码 配置 为 255. 255. 255. 0 ,网关 


配置 为 192. 168. 1. 1 ,通过 计算 机 ping 交换 机 Switch0 测试 网 络 连通 性 ,结果 如 下 。 


C:V» ping 192.168.2.100 

Pinging 192.168.2.100 with 32 bytes of data: 

Reply from 192.168.2.100: bytes- 32 time< lms TTL- 254 
Reply from 192.168.2.100: bytes- 32 time« lms TTL- 254 
Reply from 192.168.2.100: bytes- 32 time« lms TTL- 254 
Reply from 192.168.2.100: bytes= 32 time« lms TTL- 254 


Ping statistics for 192.168.2.100: 

Packets: Sent —4, Received =4, Lost =0 (0$10ss), 
Approximate round trip times in milli- seconds: 
Minimum —0ms, Maximum = 0ms, Average = 0ms 

C: \> 


结果 表明 ,计算 机 能 够 ping 通 交换 机 Switch0 ,整个 网 络 互 联 互 通 。 接 下 来 配置 交换 机 


和 路 由 器 ,使 它们 能 够 远程 登录 。 
首先 配置 交换 机 Switchl ,具体 配置 过 程 如 下 。 
Switchl (config)#username tl password 123 // 设 置 用 户 名 和 密码 
Switchl (config)#enable password 321 // 配 置 使 能 密码 


Switchl (config)# Line vty 0 4 
Switchl (config- line)# login local 
Switchl (config- line)#exit 


其 次 配置 路 由 器 Router0, 具 体 配置 过 程 如 下 。 
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Router0 (config)# username t2 password 1234 // 配 置 用 户 名 密码 
Router0 (config)#1ine vty 0 4 

Router0 (config- line)# login local 

Router0 (config- line)# exit 

Router0 (config)# enable password 4321 // 配 置 使 能 口令 


最 后 配置 交换 机 Switch0, 具 体 配置 过 程 如 下 。 


Switch0 (config)#username t3 password 12345 // 配 置 用户 名 密码 
Switch0 (config)# line vty 0 4 

Switch0 (config- line)£ login local 

Switch0 (config- line)£ exit 

Switch0 (config)# enable password 54321 // 配 置 使 能 口令 
Switch0 (config) # 


利用 CDP 命令 通过 发 现 邻 居 , 从 而 发 现 整个 网 络 拓扑 ,具体 操作 过 程 如 下 。 
首先 在 PCO 上 通过 Telnet 命令 登录 交换 机 Switch1l 。 


C:\> telnet 192.168.1.2 
Trying 192.168.1.2 ..Open 
User Access Verification 
Username: tl 

Password: 

Switchl»en 

Password: 

Switchl# 


通过 在 交换 机 Switchl 上 执行 cdp 命令 ,查看 邻居 设备 情况 ,具体 操作 如 下 。 


Switchl# show cdp neighbors 

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge 
S -Switch, H - Host, I - IGMP, r - Repeater, P - Phone 

Device ID Local Intrface  Holdtme Capability Platform Port ID 
Router0 Fas 0/1 139 R C2800 Fas 0/1 
Switchl# 


结果 显示 ,邻居 设备 ID 号 为 Router0 ,利用 本 地 设备 端口 fa0/1 与 邻居 设备 Router0 端 


口 fa0/1 相连 ,并且 邻 居 设备 型 号 为 C2800。 


通过 命令 show cdp entry 查看 邻居 设备 详细 信息 ,结果 如 下 。 


Switchl£ show cdp entry * 

Device ID: Router0 

Entry address (es) : 

IP address : 192.168.1.1 

Platform: cisco C2800, Capabilities: Router 

Interface: FastEthernet0/1, Port ID (outgoing port): FastEthernet0/1 
Holdtime: 156 


Version: 
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Cisco IOS Software, 2800 Software (C2800NM- ADVIPSERVICESK9- M), Version 12.4(15)Tl, RELEASE 
SOFTWARE (fc2) 

Technical Support: http://www.cisco.com/techsupport 

Copyright (c) 1986-2007 by Cisco Systems, Inc. 

Compiled Wed 18- Jul- 07 06:21 by pt rel team 

advertisement version: 2 

Duplex: full 

Switchl£ 


可 以 发 现 邻居 设备 端口 fa0/1, 其 IP 地 址 为 192. 168. 1. 1。 接 着 进一步 通过 Telnet 登 
录 到 Router0 ,利用 show cdp neighbors 发 现 设 备 Router0 的 邻居 情况 。 


Switchl# telnet 192.168.1.1 
Trying 192.168.1.1 ...Open 
User Access Verification 
Username: t2 

Password: 

Router0> en 

Password: 


Router0f 
通过 show cdp neighbors 命令 发 现 Router 的 邻居 情况 ,结果 如 下 。 


Router0# show cdp neighbors 
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge 
S -Switch, H - Host, I - IGMP, r - Repeater, P - Phone 


Device ID Local Intrface Holdtime Capability Platform Port ID 
Switch0 Fas 0/0 138 s 2960 Fas 0/1 
Switchl Fas 0/1 129 Ss 2960 Fas 0/1 
Router0# 


通过 cdp 命令 可 以 看 到 ,路 由 器 Router0 的 邻居 设备 有 两 个 ,分 别 为 Switch0 和 
Switchl ,其 中 交换 机 Switchl 的 情况 刚才 已 经 清楚 了 ,Switch0 为 路 由 器 Router0 连接 的 另 
一 个 设备 ,具体 为 : 邻居 设备 的 ID 为 Switch0, 其 设备 型 号 为 2960, 本 设备 Router0 的 fa0/0 
与 邻居 设备 的 fa0/1 相连 。 根 据 以 上 信息 可 以 构建 网 络 拓扑 结构 。 

通过 show cdp entry 命令 可 以 查看 邻居 设备 的 具体 情况 ,结果 如 下 。 


Router0# show cdp entry * 

Device ID: Switch0 

Entry address (es): 

IP address : 192.168.2.100 

Platform: cisco 2960, Capabilities: Switch 

Interface: FastEthernet0/0, Port ID (outgoing port): FastEthernet0/1 

Holdtime: 151 

Version : 

Cisco IOS Software, C2960 Software (C2960- LANBASE- M), Version 12.2(25)FX, RELEASE SOFTWARE 
(fc1) 
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Copyright (c) 1986- 2005 by Cisco Systems, Inc. 
Compiled Wed 12-Oct-05 22:05 by pt. team 

advertisement version: 2 

Duplex: full 

Device ID: Switchl 

Entry address (es): 

IP address : 192.168.1.2 

Platform: cisco 2960, Capabilities: Switch 

Interface: FastEthernet0/1, Port ID (outgoing port): FastEthernet0/1l 

Holdtime: 141 

Version : 

Cisco IOS Software, C2960 Software (C2960- LANBASE- M), Version 12.2(25)FX, RELEASE SOFTWARE 
(fc1) 

Copyright (c) 1986- 2005 by Cisco Systems, Inc. 

Compiled Wed 12-Oct-05 22:05 by pt. team 

advertisement version: 2 

Duplex: full 

Router0# 


在 实际 练习 过 程 中 ,往往 采用 将 网 络 拓扑 隐藏 的 方式 通过 CDP 命令 一 步 步 探索 出 整个 
网 络 的 拓扑 结构 。 隐 藏 后 的 网 络 拓扑 结构 图 如 图 3. 13 所 示 。 


Cluster0 PC-PT 
PC0 


图 3.13 隐藏 后 的 网 络 拓扑 结构 图 


通过 CDP 命令 可 以 发 现 网 络 邻 居 情 况 , 甚 至 可 以 发 现 整个 网 络 的 拓扑 结构 ,这 给 网 络 
管理 带 来 方便 的 同时 ,也 带 来 了 隐患 ,攻击 者 可 以 利用 CDP 命令 探索 整个 网 络 的 拓扑 结构 。 
因此 ,必要 时 需要 将 CDP 相关 功能 关闭 。 


Router0 (config)# no cdp run // 全 局 关闭 cDP 
Router0 (config)# cdp run // 全 局 启用 CDP 
Router0 (config)# interface fastEthernet 0/0 

Router0 (config- if)# no cdp enable // 端 口上 关闭 cDP 
Router0 (config- if)# cdp enable // 端 口上 启用 CDP 


默认 情况 下 ,设备 CDP 功能 是 开启 的 。 
3.8 本章 小 结 
本 章 首先 讲解 了 网 络 设备 常见 的 6 种 配置 模式 (用 户 模 式 、 特 权 模式 ,全 局 配置 模式 R 


路 配置 模式 、 端 口 配置 模式 以 及 VLAN ERR) ,详细 介绍 了 网 络 设备 配置 的 16 种 基本 
命令 。 掌 握 这 些 基本 配置 命令 是 进行 网 络 设备 配置 的 基础 。 
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本 章 接着 介绍 了 网 络 设 备 常见 配置 方式 中 的 两 种 方式 , 即 Telnet 远程 登录 以 及 Web 
浏览 器 图 形 化 配置 方式 ,并 详细 讲解 了 show 命令 集 ,该 命令 为 我 们 查看 网 络 设备 配置 过 
程 ,进行 网 络 故障 排查 等 提供 了 很 大 的 帮助 。 

本 章 最 后 讲解 了 思科 私有 协议 CDP. 


3.9 习题 


简 答题 
. 网 络 设备 常见 的 设备 配置 方式 有 哪些 ? 
. 简 述 利用 Console 口 对 网 络 设 备 进 行 配置 的 过 程 。 
. 网 络 设备 常见 的 配置 模式 有 哪些 ? 
. 简 述 网 络 设 备 配置 常见 的 命令 ,包括 命令 格式 以 及 命令 的 功能 。 
. 说 出 利用 Web 以 及 Telnet 对 网 络 设备 进行 配置 的 过 程 。 
. 谈 谈 常见 的 show 命令 ,包括 命令 格式 及 命令 的 功能 。 
操作 题 
l. 实际 动手 搭建 利用 Console 口 对 网 络 设备 进行 配置 的 过 程 。 
2. 练习 网 络 设备 几 种 工作 模式 相互 切换 的 过 程 。 
3. 练习 使 用 常见 的 网 络 设备 基本 配置 命令 ,不 但 要 精通 命令 格式 ,而 且 要 清楚 相应 命 
令 的 功能 。 
4. 动手 搭建 利用 Web 对 网 络 设备 进行 配置 的 过 程 。 
5. 动手 搭建 利用 Telnet 对 网 络 设备 进行 配置 的 过 程 。 
6. 练习 使 用 show 命令 ,精通 命令 格式 ,熟悉 相应 命令 实现 的 功能 。 
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第 4 草 交换 机 广播 隔离 及 网 络 
健壮 性 增强 技术 


本 章 学 习 目 标 

。 熟悉 冲突 域 及 广播 域 

。 掌握 交换 机 广播 域 隔离 技术 一 一 VLAN 技术 

。 精通 VLAN 配置 方法 

。 精通 跨 交 换 机 VLAN 划分 方法 

。 掌握 VTP 技术 

。 掌握 STP 技术 

。 掌握 交换 机 端口 聚合 技术 

本 章 首先 介绍 广播 域 以 及 冲突 域 的 相关 概念 ,分 析 广 播 风暴 带 来 的 危害 ,探讨 交换 机 广 
播 隔 离 技 术 一 一 VLAN 技术 。 

本 章 接着 介绍 交换 机 常见 VLAN 的 划分 方法 ,详细 探讨 基于 端口 VLAN 划分 的 配置 
方法 ,探讨 跨 交换 机 VLAN 的 划分 方法 ,以 及 交换 机 的 端口 工作 模式 。 

本 章 最 后 介绍 交换 机 VTP 技术 ,并 详细 介绍 VTP 配置 过 程 ,同时 分 析 交 换 机 生成 树 
协议 STP, 以 及 探讨 交换 机 的 端口 聚合 技术 ,并 详细 介绍 其 配置 过 程 。 


4.1 冲突 域 与 广播 域 


4.1.1. 冲突 域 


冲突 域 是 连接 在 同一 物理 网 段 上 所 有 结 点 的 集合 ,或 者 是 以 太 网 上 竞争 同一 带宽 的 结 
点 集合 。 这 个 域 代表 冲突 在 其 中 发 生 并 传播 的 区 域 ,这 个 区 域 被 认为 是 共享 段 。 在 OSI BE 
型 中 ,冲突 域 被 看 作 第 一 层 , 即 物理 层 概念 。 常 见 的 物理 层 设备 有 中 继 器 、 集 线 器 ,因此 连接 
同一 冲突 域 的 设备 有 中 继 器 和 集线器 ,或 者 其 他 进行 简单 复制 信号 的 设备 。 因 此 ,使 用 中 继 
器 和 集线器 连接 的 所 有 结 点 都 被 认为 是 在 同一 个 冲突 域内 , 它 不 会 划分 冲突 域 ,如 图 4.1 所 
示 。 第 二 层 设备 (网 桥 、 交 换 机 ) 以 及 第 三 层 设备 (路 由 器 ) 都 可 以 划分 冲突 域 。 


4.1.2 广播 域 


广播 是 一 种 信息 的 传播 方式 , 指 网 络 中 的 某 一 设备 同时 向 网 络 中 所 有 的 其 他 设备 发 送 
数据 ,这 个 数据 所 能 广播 到 的 范围 称 为 广播 域 (broadcast domain), 。 也 就 是 说 ,网 络 中 所 有 
能 接收 到 同样 广播 消息 的 设备 的 集合 称 为 一 个 广播 域 。 广 播 域 基于 第 二 层 ( 数 据 链 路 层 )， 
即 站 点 发 出 一 个 广播 信号 后 能 够 接收 到 这 个 信号 的 范围 。 通 常 ,一 个 局 域 网 就 是 一 个 广播 
域 。 广 播 域 内 所 有 的 设备 都 必须 监听 所 有 的 广播 包 , 如 果 广 播 域 太 大 ,用 户 的 带宽 就 小 了 ， 
并 且 需 要 处 理 更 多 的 广播 ,网 络 响应 时 间 将 会 长 到 让 人 无 法 容忍 的 地 步 。 
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图 4.1 集线器 不 能 分 割 冲突 域 


集线器 (HUB) 设 备 不 能 识别 MAC 地 址 和 TP 地 址 ,对 接收 的 数据 以 广播 的 形式 发 送 ， 
它 的 所 有 端口 为 一 个 冲突 域 ,同时 也 是 一 个 广播 域 ,交换 机 具有 MAC 地 址 学 习 功 能 ,通过 
查找 MAC 地 址 表 将 接收 到 的 数据 传送 到 目的 端口 。 相 比 于 集线器 ,交换 机 可 以 分 制 冲突 
域 , 它 的 每 一 个 端口 相应 地 称 为 一 个 冲突 域 ,如 图 4.2 所 示 。 


/ 
/2960-24T 信 、\、 
/Switch0 N, 
/ S 


图 4.2. 交换 机 可 以 分 割 冲突 域 , 不 能 分 割 广播 域 


交换 机 虽然 能 够 分 割 冲突 域 ,但 是 交换 机 下 所 有 连接 的 设备 依然 在 一 个 广播 域 中 , 当 交 
换 机 收 到 广播 数据 包 时 ,会 在 所 有 连接 的 设备 中 进行 传播 ,在 一 些 情况 下 容易 导致 网 络 拥塞 
以 及 安全 隐患 。 通 信和 网 络 中 ,为 了 避免 因 不 可 控制 的 广播 导致 的 网 络 故障 风险 ,通常 使 用 路 
由 器 设备 分 割 广播 域 ,如 图 4. 3 所 示 。 
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图 4.3 路 由 器 可 以 分 割 广播 域 


相 比 于 交换 机 ,路 由 器 并 不 通过 MAC 地 址 确定 转发 数据 的 目的 地 址 。 路 由 器 工作 在 
网 络 层 ,利用 不 同 网 络 的 网 络 地 址 确定 数据 转发 的 目的 地 址 。MAC 地 址 通常 由 设备 硬件 
出 厂 自 带 且 不 能 更 改 ,IP 地 址 一 般 由 网 络 管理 员 手 工 配置 或 系统 自动 分 配 。 路 由 器 通过 IP 
地 址 将 连接 到 其 端口 的 设备 划分 为 不 同 的 网 络 ,每 个 端口 下 连接 的 网 络 即 为 一 个 广播 域 , 广 
播 不 会 扩散 到 该 端口 以 外 ,因此 说 路 由 器 隔离 了 广播 域 。 


4.2 交换 机 广播 隔离 技术 


4.2.1 广播 风暴 和 危害 及 产生 原因 和 解决 方法 


作为 发 现 未 知 设备 的 主要 手段 , 广播 在 网 络 中 起 着 非常 重要 的 作用 。 一 个 数据 帧 或 包 
被 传输 到 本 地 网 段 ( 由 广播 域 定义 ) 上 的 每 个 结 点 就 是 广播 。 在 广播 帧 中 , 帧 头 中 的 目的 
MAC 地 址 是 “FF. FF. FF. FF. FF. FF”, 该 地 址 代表 网 络 上 所 有 主机 网 卡 的 MAC 地 址 。 

随 着 网 络 中 计算 机 数量 的 增多 ,广播 包 的 数量 会 急剧 增加 ,网 络 长 时 间 被 大 量 的 广播 数 
据 包 占用 , 当 广 播 数 据 包 的 数量 达到 一 定 的 程度 时 ,网 络 传输 速率 将 会 明显 下 降 ,使 正常 的 
点 对 点 通信 无 法 正常 进行 ,最 终 导 致 网 络 性 能 下 降 , 甚 至 导致 网 络 瘫痪 ,这 就 是 广播 风暴 。 

1. 广播 风暴 的 危害 

广播 风暴 现象 是 导致 常见 的 数据 洪 泛 (flood) 原 因 之 一 ,是 一 种 典型 的 雪 球 效应 。 当 广 
播 风 暴 产 生 时 ,以 太 网 传输 介质 中 几乎 充满 了 广播 数据 包 , 网 络 设备 端口 上 统计 的 报 文 速 
率 达 到 很 高 的 数量 级 , 设备 处 理 器 高 负荷 运转 。 广 播 风 暴 不 仅 影响 网 络 设备 , 而 且 它 还 使 
得 所 有 的 主机 都 要 接收 链 路 层 的 广播 数据 包 , 因而 受到 危害 。 每 秒 数 万 级 的 数据 包 通 常会 
使 网 卡 工作 异常 繁忙 ,操作 系统 反应 迟缓 ,网 络 通信 严重 受阻 ,严重 危害 网 络 的 正常 运行 。 

2. 广播 风暴 产生 的 原因 

形成 广播 风暴 的 原因 有 很 多 ,这 里 主要 介绍 以 下 5 种 。 

D 网 络 设备 导致 

之 前 的 中 、 小 型 办 公 网 络 以 及 网 吧 ,校园 网 络 等 常见 的 网 络 中 大 量 采 用 集线器 。 用 集 线 
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器 组 成 的 网 络 称 为 共享 式 网 络 。 在 共享 式 网 络 中 ,使 用 载波 侦 听 多 路 访问 /冲突 检测 
(CSMA/CD) 机 制 解决 数据 包 的 碰撞 问题 。 随 着 网 络 主机 数目 不 断 增加 ,数据 包 数 量 也 随 
之 不 断 增长 ,这 种 情况 下 容易 形成 广播 风暴 ,共享 式 网 络 的 不 足 之 处 就 表现 得 非常 突出 了 。 
在 广播 报 文 较 多 的 情况 下 ,广播 风暴 会 造成 网 络 崩 溃 。 目 前 ,集线器 在 市 场 中 已 经 很 难 找 
到 ,在 网 络 工程 项 目 中 也 很 难 见 到 它 的 踪影 。 

2) 网 卡 或 网 络 设备 损坏 

长 时 间 工 作 容易 导致 网 络 中 主机 的 网 卡 或 网 络 设备 的 端口 发 生 损 坏 , 损坏 的 网 卡 或 网 
络 设备 也 同样 会 产生 广播 风暴 。 当 某 块 网 卡 或 网 络 设备 的 某 个 端口 损坏 后 ,有 可 能 向 网 络 
发 送 大量 广 播 帧 和 非法 帧 ,产生 大 量 无 用 的 数据 包 , 占 用 大 量 带宽 ,使 网 络 运行 速度 明显 变 
慢 , 严 重 时 产生 广播 风暴 。 

3) 网 络 环 路 

在 网 络 管理 过 程 中 ,如 果 对 网 络 拓扑 结构 不 清楚 ,在 对 网 络 设备 进行 安装 过 程 中 出 现 疏 
漏 ,可 能 会 导致 一 条 物理 网 络 线路 的 两 端 同时 接 在 同一 台 网 络 设备 中 , 或 者 是 虽然 经 过 了 
不 同 的 设备 ,但 是 还 是 形成 了 环 路 。 广 播 数据 包 在 网 络 中 反复 大 量 传送 ,容易 导致 广播 风 
暴 , 造成 网 络 阻塞 ,甚至 瘫痪 。 

4) 网 络 病毒 

目前 ,网 络 中 的 病毒 较为 独 锋 ,许多 病毒 和 木马 程序 也 容易 引起 广播 风暴 。 网 络 中 一 旦 
有 一 台 机 器 中 病毒 ,就 会 立即 通过 网 络 进行 传播 。 网 络 病毒 的 传播 会 损耗 大 量 的 网 络 带 宽 ， 
引起 网 络 堵塞 ,产生 广播 风暴 。 

5) 黑客 软件 的 使 用 

一 些 上 网 者 经 常 利用 黑客 软件 对 网 络 进行 攻击 。 这 些 软件 的 使 用 ,一 定 程度 上 造成 广 
播 风 暴 。 

3. 广播 风暴 问题 的 解决 方案 和 防范 措施 

解决 广播 风暴 要 从 源头 人 手 , 从 监控 和 管理 两 个 方向 进行 。 

1) 使 用 较 好 的 网 络 设备 及 质量 较 好 的 线 线 

在 资金 充裕 的 条 件 下 使 用 高 档次 的 网 络 设备 ,保证 网 络 通信 质量 。 有 具体 是 从 网 卡 到 线 
路 再 到 交换 机 都 采用 质量 高 的 设备 ,这 样 才能 从 硬件 上 减少 故障 发 生 的 概率 。 

2) 掌握 网 络 的 拓扑 结构 ,避免 连 网 中 环 路 的 出 现 

在 一 些 比较 复杂 的 网 络 中 ,经 常会 出 现 多 余 的 备用 线路 ,一旦 连接 线路 不 当 , 就 容易 构 
成 回路 。 例 如 ,网 线 从 网 络 中 心 接 到 计算 机 1 室 ,再 从 计算 机 1 室 接 到 计算 机 2 室 。 同 时 ， 
从 网 络 中 心 又 有 一 条 备用 线路 直接 连 到 计算 机 2 室 , 若 这 几 条 线 同 时 接 通 , 则 构成 环 路 , 数 
据 包 会 不 断 发 送 和 校 验 数据 ,从 而 影响 整体 网 速 。 在 这 种 情况 下 查找 出 现 问题 的 原因 则 比 
较 困难 。 为 避免 该 类 情况 发 生 , 在 铺设 网 线 时 要 养 成 良好 的 习惯 ,包括 在 网 线 上 打上 明显 的 
标签 ,在 有 备用 线路 的 地 方 做 好 记载 等 。 当 怀疑 有 此 类 故障 发 生 时 ,一 般 采 用 分 区 分 段 逐 步 
排除 的 方法 。 

3) 在 网 络 中 快速 定位 网 络 故障 点 

查找 产生 网 络 广播 风暴 故障 点 通常 比较 困难 ,如 网 卡 或 网 络 设备 物理 损坏 引起 的 广播 
风暴 ,这 类 故障 查找 和 排除 比较 困难 。 网 卡 或 网 络 设备 出 现 故障 时 ,一 般 这 些 设备 仍 能 正常 
工作 ,只 不 过 工作 时 时 好 时 坏 。 碰 到 这 样 的 问题 一 般 从 源头 入 手 , 从 监控 和 管理 两 方面 进行 
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解决 ,网 管 人 员 可 以 使 用 Windows 自 带 的 网 络 监视 器 宏观 地 对 网 络 进行 监控 ,了 解 网 络 运 
行 的 大 致 情况 。 使 用 网 络 流量 分 析 软 件 和 协议 分 析 软 件 (如 Sniffer, Wireshark 等 ) 观 察 网 
络 内 计算 机 的 通信 状况 ,可 以 观察 到 广播 帧 的 数量 以 及 所 占 比 例 , 从 而 迅速 定位 ,找到 广播 
风暴 的 源头 所 在 ,也 可 以 利用 MRTG(Multi Router Traffic Grapher, 一 个 监控 网 络 链 路 流 
量 负 载 的 工具 软件 ,通过 SNMP 协议 得 到 设备 的 流量 信息 ) 监 控 工 具 ,动态 监测 各 网 络 设备 
的 流量 。 另 外 ,通过 安装 网 络 版 杀毒 软件 并 及 时 升级 ,计算 机 也 及 时 升级 并 安装 系统 补丁 程 
序 , 同 时 印 载 不 必要 的 服务 .关闭 不 必要 的 端口 ,以 提高 系统 的 安全 性 和 可 靠 性 。 

4) 采用 VLAN 技术 

VLAN( Virtual Local Area Network ,虚拟 局 域 网 ) 技 术 是 一 种 将 局 域 网 交换 机 从 逮 辑 
上 划分 成 一 个 个 网 段 ,从 而 实现 虚拟 工作 组 的 新 兴 数 据 交换 技术 。VLAN 技术 的 产生 是 为 
了 解决 以 太 网 的 广播 问题 和 安全 性 问题 , 它 在 以 太 网 数据 帧 的 基础 上 增加 了 一 个 VLAN ID 
字段 ,通过 VLAN ID 把 物理 的 交换 机 划分 成 若干 个 不 同 的 虚拟 局 域 网 。 

VLAN 可 以 提供 建立 防火 墙 的 机 制 ,防止 交换 网 络 的 过 量 广播 风暴 。 使 用 VLAN 可 
以 将 某 个 交换 端口 或 用 户 赋予 某 一 个 特定 的 VLAN 组 ,该 VLAN 组 可 以 在 一 个 交换 网 中 
或 跨 接 多 个 交换 机 ,一 个 VLAN 中 的 广播 风暴 不 会 跨越 男 一 个 VLAN 中 。 同 样 , 相 邻 的 端 
口 不 会 收 到 其 他 VLAN 产生 的 广播 风暴 。 这 样 可 以 减少 广播 流量 ,减少 广播 风暴 的 产生 ， 
从 而 释放 带宽 给 其 他 用 户 终端 设备 使 用 。 

一 般 局 域 网 都 是 基于 端口 划分 VLAN 的 。 在 一 座 楼 内 尽量 设置 多 个 VLAN, 如 楼 内 
有 大 的 机 房 , 应 让 每 个 机 房 使 用 单独 的 VLAN ,使 广播 局 部 化 ,减少 整个 局 域 网 的 广播 流量 
和 广播 风暴 发 生 的 可 能 性 ,保证 网 络 的 安全 性 和 高 可 用 性 。 


4.2.2 VLAN 技术 介绍 


VLAN 即 虚拟 局 域 网 ,是 一 组 逻辑 上 的 设备 和 用 户 , 这 些 设备 和 用 户 不 受 物理 位 里 的 
限制 ,根据 功能 、 部 门 及 应 用 等 因素 将 它们 组 织 起 来 ,相互 之 间 通 信 就 如 同 在 同一 个 网 段 中 
一 样 。 一 个 VLAN 就 是 一 个 广播 域 ,VLAN 之 间 的 通信 是 通过 第 3 层 设备 路 由 器 完成 的 。 

一 个 VLAN 包含 一 组 具有 相同 需求 的 计算 机 工作 站 ,与 物理 上 形成 的 LAN 具有 相同 
的 属性 。 它 是 从 逻辑 上 划分 ,不 是 从 物理 上 划分 ,因此 一 个 VLAN 内 的 各 个 工作 站 没有 限 
制 在 一 个 物理 范围 中 , 即 这 些 工 作 站 可 以 在 不 同 物理 LAN 网 段 。 

同一 个 VLAN 内 部 的 广播 和 单 播 流量 不 会 转发 到 其 他 VLAN 中 ,从 而 有 助 于 控制 流 
tit 减少 设备 投资 ,简化 网 络 管理 、 提 高 网 络 的 安全 性 。 


4.2.3 常见 的 VLAN 划分 方法 介绍 


在 交换 机 上 划分 VLAN ,常见 的 方法 有 以 下 5 种 。 

1. 基于 端口 划分 VLAN 

这 是 最 常 使 用 的 一 种 VLAN 划分 方法 ,目前 大 多 数 VLAN 协议 的 交换 机 都 提供 这 种 
VLAN 配置 方法 ,这 种 划分 VLAN 的 方法 应 用 最 广泛 、 使 用 最 有 效 。 该 方法 是 根据 以 太 网 
交换 机 的 交换 端口 划分 的 ,将 交换 机 上 的 物理 端口 分 成 若干 个 组 ,每 个 组 构成 一 个 虚拟 局 域 
网 ,每 个 虚拟 网 都 相当 于 一 个 独立 的 交换 机 。 这 种 基于 端口 划分 VLAN 的 方法 并 不 局 限于 
在 一 台 交 换 机 上 进行 。 也 可 以 在 将 多 台 通 过 堆 姜 或 级 联 方 式 连接 在 一 起 的 不 同 交 换 机 上 进 
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行 划 分 。 

这 种 划分 VLAN 的 优点 是 简单 .容易 实现 ,从 一 个 端口 发 出 的 广播 信息 ,直接 发 送 到 同 
一 VLAN 内 的 其 他 端口 ,也 便于 直接 监控 。 它 的 缺点 是 自动 化 程度 低 .灵活 性差, 如 不 能 在 
给 定 的 端口 上 支持 一 个 以 上 的 VLAN; 在 一 个 网 络 站 点 迁移 时 , 若 新 端口 不 属于 同一 个 
VLAN, 则 用 户 必须 对 该 站 点 重新 进行 网 络 地 址 配置 。 

2. 基于 MAC 地 址 划分 VLAN 

这 种 划分 VLAN 的 方法 是 根据 每 台 主 机 的 MAC 地 址 进行 , 即 对 每 台 MAC 地 址 的 主 
机 都 配置 属于 它 的 那个 组 , 它 实 现 的 机 制 就 是 每 一 块 网 卡 都 对 应 唯一 的 MAC 地 址 ,VLAN 
交换 机 跟踪 属于 VLAN 的 MAC 地 址 。 采 用 这 种 方式 划分 VLAN 的 用 户 从 一 个 物理 位 置 
移动 到 另 一 个 物理 位 置 时 ,自动 保留 其 所 属 VLAN 的 成 员 身 份 。 

由 这 种 方式 划分 VLAN 的 机 制 可 以 看 出 ,该 划分 方法 的 最 大 优点 是 终端 设备 在 网 络 内 
的 物理 移动 不 影响 该 设备 所 属 的 VLAN 号 。 当 设备 的 物理 位 置 移动 时 , 即 从 一 台 交 换 机 换 
到 其 他 交换 机 时 ,VLAN 不 用 重新 配置 ,因为 它 是 基于 终端 设备 的 MAC 地 址 ,而 不 是 基于 
交换 机 端口 的 。 这 种 划分 VLAN 的 方法 ,其 缺点 是 在 初始 化 时 ,必须 将 所 有 用 户 终端 设备 
的 MAC 地 址 进行 登记 和 配置 ,如 果 有 几 百 个 甚至 上 千 个 用 户 终 端 ,配置 起 来 是 非常 麻烦 
的 。 另 外 , 若 用 户 终端 设备 更 换 了 网 卡 ,改变 了 其 MAC 地 址 ,网 络 管理 员 必 须 针 对 该 设备 
重新 配置 VLAN ,所 以 这 种 划分 方法 通常 应 用 于 网 络 规模 比较 小 的 小 型 局 域 网 。 同 时 ,这 
种 划分 方法 也 导致 交换 机 执行 效率 降低 ,因为 在 每 一 个 交换 机 的 端口 ,都 可 能 存在 多 个 
VLAN 组 的 成 员 。 该 端口 保存 了 许多 用 户 设备 的 MAC 地 址 ,查询 起 来 比较 麻烦 。 另 外 ， 
对 于 使 用 笔记 本 电脑 的 用 户 来 说 ,他 们 的 网 卡 可 能 经 常 更 换 , 这 样 VLAN 就 必须 经 常 配置 。 

3. 基于 网 络 层 协议 划分 VLAN 

按 网 络 层 协议 划分 VLAN, 可 分 为 IP、IPX、DECnet、AppleTalk 等 VLAN 网 络 。 这 种 
按 网 络 层 协议 组 成 的 VLAN ,可 使 广播 域 跨越 多 个 VLAN 交换 机 。 这 对 于 希望 针对 具体 
应 用 和 服务 组 织 用 户 的 网 络 管理 员 来 说 是 非常 具有 吸引 力 的 。 而 且 , 用 户 可 以 在 网 络 内 部 
自由 移动 ,但 其 VLAN 成 员 身 份 仍 然 保留 不 变 。 这 种 方法 的 优点 是 用 户 的 物理 位 置 改变 
了 ,不 需要 重新 配置 所 属 的 VLAN ,而 且 可 以 根据 协议 类 型 划分 VLAN ,这 对 网 络 管理 者 来 
说 很 重要 。 另 外 ,这 种 方法 不 需要 附加 的 帧 标签 识别 V LAN ,这 样 可 以 减少 网 络 的 通信 量 。 
这 种 方法 的 缺点 是 效率 低 ,因为 检查 每 一 个 数据 包 的 网 络 层 地 址 是 需要 消耗 处 理 时 间 的 ,一 
般 的 交换 机 芯片 都 可 以 自动 检查 网 络 上 数据 包 的 以 太 网 帧 头 , 但 要 让 芯片 能 检查 IP 帧 头 ， 
需要 更 高 的 技术 ,同时 也 更 费时 。 

4. 根据 IP 组 播 划分 VLAN 

IP 组 播 实 际 上 也 是 一 种 VLAN 的 定义 , 即 认为 一 个 IP 组 播 组 就 是 一 个 VLAN。 这 种 
划分 方法 将 VLAN 扩大 到 广域网 ,因此 这 种 方法 具有 更 大 的 灵活 性 ,而 且 也 很 容易 通过 路 
由 器 进行 扩展 。 

5. 按 策略 划分 VLAN 

基于 策略 组 成 的 VLAN 能 实现 多 种 分 配方 法 ,包括 VLAN 交换 机 端口 .MAC 地 址 IP 
地 址 、 网 络 层 协议 等 。 网 络 管理 人 员 可 根据 自己 的 管理 模式 和 本 单位 的 需求 决定 选择 哪 种 
类 型 的 VLAN。 
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4.2.4 同一 台 交 换 机 基于 端口 VLAN 的 划分 方法 


如 图 4.4 所 示 ,在 没有 划分 VLAN 之 前 ,整个 交换 机 处 于 一 个 广播 域 里 ,通过 端口 划分 
VLAN 的 方法 ,将 这 4 台 计算 机 划分 为 3 个 广播 域 : PCI 和 PC2 为 一 个 广播 域 ,PC3 为 一 
个 广播 域 ,PC4 为 一 个 广播 域 ,具体 VLAN 的 划分 如 图 4. 5 所 示 。 根 据 这 4 台 计 算 机 连接 
的 交换 机 的 端口 情况 ,通过 交换 机 端口 划分 VLAN, 则 具体 划分 如 下 。 


广播 域 
12560-2477 10/20 


CI 
PC-PT PC-PT PC-PT PC-PT 
PCI PC2 PC3 PC4 


图 4.5 通过 划分 VLAN 分 割 广播 域 


将 端口 f0/1 和 £0/2 划分 为 同一 个 VLAN, 其 VLAN 号 为 10, 将 端口 £0/10 划分 为 一 
个 VLAN, 其 VLAN 号 为 20, 将 f0/20 划分 为 一 个 VLAN, 其 VLAN 号 为 30。 
通过 “show vlan 命令, 查看 交换 机 初始 VLAN 情况 ,结果 如 下 。 


Switch# show vlan 

VLAN Name Status Ports 

1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 
Fa0/5, Fa0/6, Fa0/7, Fa0/8 
Fa0/9, Fa0/10, Fa0/11, Fa0/12 
Fa0/13, Fa0/14, Fa0/15, Fa0/16 
Fa0/17, Fa0/18, Fa0/19, Fa0/20 
Fa0/21, Fa0/22, Fa0/23, Fa0/24 
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Gig1/1, Gig1/2 


1002 fddi- default act/unsup 
1003 token- ring- default act/unsup 
1004 fddinet- default act/unsup 
1005 trnet- default act/unsup 


VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Transl Trans2 


1 enet 100001 1500 - x - *- - 0 0 
1002 fddi 101002 1500 - $ = = zu 0 
1003 tr 101003 1500 - = = x - 0 0 
1004 fdnet 101004 1500 - - - ieee - 0 0 
1005 trnet 101005 1500 - - B ibm - 0 


Remote SPAN VLANs 


显示 结果 表明 ,交换 机 在 初始 状态 下 ,所 有 的 端口 都 属于 VLAN1。 将 交换 机 中 的 端口 
按照 图 4. 5 所 示 进 行 VLAN 划分 的 步骤 如 下 : 首先 在 交换 机 中 创建 3 个 新 的 VLAN, 
VLAN 号 分 别 为 10、20 以 及 30。 命 令 配 置 如 下 。 


Switch# config terminal 
Enter configuration commands, one per line. End with CNTL/Z. 


Switch (config)# vlan 10 // 创 建 VLAN 10 
Switch (config- vlan)# exit 
Switch (config)#vlan 20 // 创 建 VLAN 20 


Switch (config- vlan)# exit 

Switch (config)#vlan 30 // 创 建 VLAN 30 

Switch (config- vlan)# 

通过 "show vlan" 命 令 可 以 看 到 刚刚 创建 的 3 个 VLAN ,此 时 新 创建 的 VLAN 下 都 没 
有 对 应 的 端口 。 所 有 端口 仍然 属于 VLAN1。 显 示 结 果 如 下 。 


Switch# show vlan 
VLAN Name Status Ports 


1 default active Fa0/1l, Fa0/2, Fa0/3, Fa0/4 
Fa0/5, Fa0/6, Fa0/7, Fa0/8 
Fa0/9, Fa0/10, Fa0/11, Fa0/12 
Fa0/13, Fa0/14, Fa0/15, Fa0/16 
Fa0/17, Fa0/18, Fa0/19, Fa0/20 
Fa0/21, Fa0/22, Fa0/23, Fa0/24 
Gigl/1l, Gigl/2 


10 VLAN0010 active 
20 VLANO020 active 
30 VLAN0030 active 
1002 fddi- default act/unsup 
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1003 token- ring- default act/unsup 
1004 fddinet- default act/unsup 
1005 trnet- default act/unsup 


VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Transl Trans2 


1 enet 100001 1500 - = ak: ai -0 0 
10 enet 100010 1500 - Š 一 一 -0 0 

20 enet 100020 1500 - æ ix: = -0 0 

30 enet 100030 1500 - = s = -0 0 

1002 fddi 101002 1500 - = ES xd -0 0 

1003 tr 101003 1500 - ~ = S -0 0 

1004 fdnet 101004 1500 - = a ieee -0 0 

1005 trnet 101005 1500 - = = ibm -0 0 

Remote SPAN VLANs 

Primary Secondary Type Ports 

Switch# 

接 下 来 基于 端口 VLAN 划分 方法 ,按照 图 4. 5 的 要 求 将 相应 的 端口 分 别 划 分 到 对 应 的 

VLAN 中 。 


Switch# configure terminal 
Enter configuration commands, one per line. End with CNTL/Z. 


Switch (config)# interface fastEthernet 0/1 // 进 入 交换 机 0/1 号 端口 

Switch (config- if)# switchport mode access // 将 该 端口 配置 成 access 模式 

Switch (config- if)# switchport access vlan 10 // 将 该 端口 划分 到 vLaN10 中 

Switch (config-if)fexit 

Switch (config)# interface fastEthernet 0/2 // 进 入 交换 机 0/2 号 端口 

Switch (config- if)# switchport mode access // 将 该 端口 配置 成 access 模式 
// 将 该 端口 划分 到 viaN10 中 


Switch (config- if)# switchport access vlan 10 
Switch (config- if)# 


以 上 命令 将 端口 {0/1 和 端口 £0/2 划分 到 VLAN 10 中 ,通过 命令 "show vlan" ft fi fid 
置 效果 ,结果 如 下 。 


Switch# show vlan 


VLAN Name 

1 default active ^ Fa0/3, Fa0/4, Fa0/5, Fa0/6 
Fa0/7, Fa0/8, Fa0/9, Fa0/10 
Fa0/11, Fa0/12, Fa0/13, Fa0/14 
Fa0/15, Fa0/16, Fa0/17, Fa0/18 
Fa0/19, Fa0/20, Fa0/21, Fa0/22 
Fa0/23, Fa0/24, Gigl/1l, Gigl/2 

10 VLAN0010 active Fa0/1, Fa0/2 

20 VLANO0020 active 
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30 VLAN0030 active 

1002 fddi- default act/unsup 
1003 token- ring- default act/unsup 
1004 fddinet- default act/unsup 
1005 trnet- default act/unsup 


实验 结果 表明 ,端口 fa0/1 和 端口 Fa0/2 已 经 属于 VLAN10, 不 再 属于 VLANI T. 
同样 ,将 端口 Fa0/10 划分 到 VLAN20 中 ,端口 Fa0/20 划分 到 VLAN30 中 ,具体 配置 
过 程 如 下 。 


Switch (config)# interface fastEthernet 0/10 // 进 入 交换 机 0/10 号 端口 
Switch (config- if)# switchport mode access // 将 该 端口 配置 成 access 模式 
Switch (config- if)# switchport access vlan 20 // 将 该 端口 划分 到 vLaN20 中 
Switch (config- if)#exit 

Switch (config)# interface fastEthernet 0/20 // 进 入 交换 机 0/20 号 端口 
Switch (config- if)# switchport mode access // 将 该 端口 配置 成 access 模式 
Switch (config- if)# switchport access vlan 30 // 将 该 端口 划分 到 VLaN30 中 


Switch (config-if)f 
通过 show vlan 命令 ,查看 配置 结果 如 下 : 


Switch# show vlan 

VLAN Name Status Ports 

1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6 
Fa0/7, Fa0/8, Fa0/9, Fa0/11 
Fa0/12, Fa0/13, Fa0/14, Fa0/15 
Fa0/16, Fa0/17, Fa0/18, Fa0/19 
Fa0/21, Fa0/22, Fa0/23, Fa0/24 
Gigl/l, Gigl/2 


10 . VLANO0O10 active Fa0/1, Fa0/2 
20 . VLANO020 active Fa0/10 

30 . VLAN0030 active Fa0/20 

1002 fddi- default act/unsup 

1003 token- ring- default act/unsup 

1004 fddinet- default act/unsup 


这 样 , 通 过 基于 端口 VLAN 划分 方法 将 4 台 计 算 机 划分 为 3 个 不 同 的 VLAN ,每 个 
VLAN 属于 同一 个 广播 域 ,4 台 计 算 机 处 于 3 个 不 同 的 广播 域 中 。 

在 实际 工程 项 目 中 ,通常 需要 将 多 个 端口 划分 到 一 个 VLAN 中 ,如 果 按 照 上 面 的 方法 
一 个 端口 一 个 端口 地 进行 划分 ,配置 起 来 相对 比较 麻烦 。 实 际 可 以 通过 一 次 性 将 多 个 端口 
划分 到 一 个 VLAN 的 方法 进行 配置 。 

1. 将 连续 多 个 端口 划分 到 一 个 VLAN 的 情况 

如 图 4.5 所 示 ,VLAN 划分 及 连续 VLAN 端口 分 配 表 见 表 4. 1。 
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表 4.1 VLAN 划分 及 连续 VLAN 端口 分 配 表 


VLAN 号 EI H 
10 FastEthernet0/1, FastEthernet0/2, FastEthernet0/3, FastEthernet0/4, FastEthernet0/5, 
FastEthernet0/6 , FastEthernet0/7 , FastEthernet0/8, FastEthernet0/9 
26 FastEthernet0/10, FastEthernet0/11, FastEthernet0/12,  FastEthernet0/13, FastEthernet0/14, 


FastEthernet0/15, FastEthernet0/16, FastEthernet0/17 , FastEthernet0/18, FastEthernet0/19 


30 FastEthernet0/20, FastEthernet0/21 , FastEthernet0/22, FastEthernet0/23. FastEthernet0/24 


具体 配置 过 程 如 下 ， 


Switch# configure terminal 


// 进 入 全 局 配置 模式 


Enter configuration commands, one per line. End with CNTL/Z. 


Switch (config)#vlan 10 

Switch (config- vlan)# exit 

Switch (config)#vlan 20 

Switch (config- vlan)#exit 

Switch (config)#vlan 30 

Switch (config- vlan)# exit 

Switch (config)# interface range fastEthernet 0/1 -9 
Switch (config- if- range)# switchport mode access 
Switch (config- if- range) # switchport access vlan 10 
Switch (config- if- range) $ exit 

Switch (config)# interface range fastEthernet 0/10 -19 
Switch (config- if- range) # switchport mode access 
Switch (config- if- range) # switchport access vlan 20 
Switch (config- if- range) $ exit 

Switch (config)# interface range fastEthernet 0/20 -24 
Switch (config- if- range) # switchport mode access 
Switch (config- if- range) # switchport access vlan 30 
Switch (config- if- range) # 


// 创 建 VLAN10 


// 创 建 VLAN20 


// 创 建 VLAN30 


// 进 入 交换 机 连续 的 第 1 一 9 号 端口 
// 将 连续 的 1 一 9 号 端口 配置 成 access 模式 
// 将 连续 的 1 一 9 号 端口 划分 到 viaN10 中 


// 进 入 交换 机 连续 的 第 10~19 号 端口 
// 将 连续 的 10~19 号 端口 配置 成 access 模式 
// 将 连续 的 10 一 19 号 端口 划分 到 viaN20 中 


// 进 入 交换 机 连续 的 第 20 一 24 号 端口 
// 将 连续 的 20~24 号 端口 配置 成 access 模式 
// 将 连续 的 20 一 24 号 端口 划分 到 viaN20 中 


通过 show vlan 命令 查看 VLAN 配置 情况 如 下 。 


Switch# show vlan 


VLAN Name Status 
1 default active 
10 VLANO010 active 
20 VLAN0020 active 
30 VLAN0030 active 
1002 fddi- default act/unsup 


Gigl/1l, Gigl/2 

Fa0/1, Fa0/2, Fa0/3, Fa0/4 
Fa0/5, Fa0/6, Fa0/7, Fa0/8 
Fa0/9 

Fa0/10, Fa0/11, Fa0/12, Fa0/13 
Fa0/14, Fa0/15, Fa0/16, Fa0/17 
Fa0/18, Fa0/19 

Fa0/20, Fa0/21, Fa0/22, Fa0/23 
Fa0/24 
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显示 结果 表明 ,按照 表 4. 1 的 要 求 将 连续 的 多 个 端口 一 次 性 划分 到 相应 的 VLAN 中 。 
2. 将 不 连续 多 个 端口 划分 到 一 个 VLAN 的 情况 
如 图 4.5 所 示 ,VLAN 划分 及 不 连接 VLAN 端口 分 配 表 见 表 4. 2。 


表 4.2 VLAN 划分 及 不 连续 VLAN 端口 分 配 表 


VLAN & 3i H 
10 FastEthernet0/1 , FastEthernet0/3, FastEthernet0/5 , FastEthernet0/7, FastEthernet0/9 
20 FastEthernet0/2  FastEthernet0/4 , FastEthernet0/6 , FastEthernet0/8 , FastEthernet0/10 
35 FastEthernet0/12, FastEthernet0/14, FastEthernet0/16, FastEthernet0/18, 
FastEthernet0/20, FastEthernet0/22 
具体 配置 过 程 如 下 。 
Switch# config t // 进 入 全 局 配置 模式 
Enter configuration commands, one per line. End with CNTL/Z. 
Switch (config) vlan 10 // 创 建 VLAN10 
Switch (config- vlan)# exit 
Switch (config)#vlan 20 // 创 建 VLAN20 
Switch (config- vlan)# exit 
Switch (config)# vlan 30 // 创 建 VLAN30 


Switch (config- vlan)# exit 
Switch (config)# interface range fastEthernet 0/1,fa0/3,fa0/5,fa0/7,fa0/9 

// 进 入 交换 机 不 连续 的 端口 ,中 间 用 逗号 隔 开 
Switch (config- if- range)# switchport mode access ”// 将 端口 配置 成 access 模式 
Switch (config- if- range)# switchport access vlan 10 

// 将 不 连续 端口 一 次 性 划分 到 VLAN10 中 
Switch (config- if- range)fexit 
Switch (config)# interface range fastEthernet 0/2,fa0/4,fa0/6,fa0/8,fa0/10 

// 进 入 交换 机 不 连续 的 端口 ,中 间 用 逗号 隔 开 
Switch (config- if- range)# switchport mode access // 将 端口 配置 成 access 模式 
Switch (config- if- range)# switchport access vlan 20 

// 将 不 连续 端口 一 次 性 划分 到 ViaAN20 中 
Switch (config- if- range)#exit 
Switch (config)#interface range fastEtheftfil/ 071 f$ tHE ei 6 [3 097 18] Es Eb db / 22. 
Switch (config- if- range)# switchport mode access ”// 将 端口 配置 成 access 模式 
Switch (config- if- range) # switchport access vlan 30 

// 将 不 连续 端口 一 次 性 划分 到 VIAN30 中 


Switch (config- if- range)# 


通过 show vlan 命令 查看 配置 结果 如 下 。 


Switch# show vlan 
VLAN Name Status Ports 
à default active ^ Fa0/12, Fa0/14, Fa0/16, Fa0/18 


Fa0/20, Fa0/21, Fa0/22, Fa0/23 
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Fa0/24, Gigl/1l, Gigl/2 


10  VLANOO10 active ^ Fa0/1, Fa0/3, Fa0/5, Fa0/7 
Fa0/9 

20  VLANO020 active ^ Fa0/2, Fa0/4, Fa0/6, Fa0/8 
Fa0/10 

30  VLANO030 active  Fa0/12, Fa0/14, Fa0/16, Fa0/18 
Fa0/20, Fa0/22 

1002 fddi- default act/unsup 

1003 token- ring- default act/unsup 


显示 结果 表明 ,按照 表 4. 2 的 要 求 将 连续 的 多 个 不 连续 端口 一 次 性 划分 到 相应 的 


VLAN 中 。 


3. 将 部 分 连续 部 分 不 连续 的 端口 划分 到 一 个 VLAN 的 情况 
如 图 4. 5 所 示 ,需要 将 端口 划分 成 表 4. 3 所 示 VLAN 的 情况 。 


表 4.3 VLAN 划分 及 部 分 连续 部 分 不 连续 VLAN 端口 分 配 表 


VLAN § E] H 


FastEthernet0/1, FastEthernet0/2, FastEthernet0/3, FastEthernet0/4, FastEthernet0/5, 


10 
FastEthernet0/7, FastEthernet0/9 


FastEthernet0/6 , FastEthernet0/8, FastEthernet0/10, FastEthernet0/11, FastEthernet0/12, 


2 FastEthernet0/13, FastEthernet0/14, FastEthernet0/15 
30 FastEthernet0/16 , FastEthernet0/18, FastEthernet0/20. FastEthernet0/21, FastEthernet0/ 
22, FastEthernet0/23, FastEthernet0/24 
具体 配置 过 程 如 下 。 
Switch# config t // 进 入 全 局 配置 模式 
Enter configuration commands, one per line. End with CNTL/Z. 
Switch (config) vlan 10 // 创 建 VLAN10 
Switch (config- vlan)#vlan 20 // 创 建 VLAN20 
Switch (config- vlan)# vlan 30 // 创 建 VLAN30 


Switch (config- vlan)# exit 
Switch (config)# interface range fastEthernet 0/1- 5,fa0/7,fa0/9 

// 进 入 交换 机 部 分 连续 部 分 不 连续 的 端口 ,中 间 用 逗号 隔 开 
Switch (config- if- range) # switchport mode access // 将 端口 配置 成 access 模式 
Switch (config- if- range) # switchport access vlan 10 // 将 端口 一 次 性 划分 到 VLaN10 中 
Switch (config- if- range)f exit 
Switch (config)# interface range fastEthernet 0/6, fa0/8, fa0/10- 15 


// 进 入 交换 机 部 分 连续 部 分 不 连续 的 端口 ,中 间 用 逗号 隔 开 


Switch (config- if- range)# switchport mode access // 将 端口 配置 成 access 模式 
Switch (config- if- range) # switchport access vlan 20 // 将 端口 一 次 性 划分 到 viLaN20 中 
Switch (config- if- range)fexit 

Switch (config)# 


Switch (config)# interface range fastEthernet 0/16, fa0/18, fa0/20- 24 


// 进 入 交换 机 部 分 连续 部 分 不 连续 的 端口 ,中间 用 逗号 隔 开 
Switch (config- if- range)# switchport mode access // 将 端口 配置 成 access 模式 


第 4 章 交换 机 广播 隔离 及 网 络 健壮 性 增强 技术 


Switch (config- if- range)# switchport access vlan 30 // 将 端口 一 次 性 划分 到 viaN30 中 
通过 show vlan 命令 查看 配置 结果 如 下 。 


Switch# show vlan 


VLAN Name Status Ports 

1 default active Fa0/17, Fa0/19, Gigl/l, Gigl/2 

10 VLAN0010 active Fa0/1, Fa0/2, Fa0/3, Fa0/4 
Fa0/5, Fa0/7, Fa0/9 

20 VLANO020 active Fa0/6, Fa0/8, Fa0/10, Fa0/11 
Fa0/12, Fa0/13, Fa0/14, Fa0/15 

30 VLANO030 active Fa0/16, Fa0/18, Fa0/20, Fa0/21 
Fa0/22, Fa0/23, Fa0/24 

1002 fddi- default act/unsup 

1003 token- ring- default act/unsup 


显示 结果 表明 ,按照 表 4. 3 的 要 求 将 部 分 连续 部 分 不 连续 端口 一 次 性 划分 到 相应 的 
VLAN 中 。 


4.2.5 跨 交 换 机 基于 端口 VLAN 的 划分 方法 


前 面 针对 的 是 在 同一 台 交换 机 上 进行 基于 端口 的 VLAN 划分 方法 。 交 换 机 的 端口 处 
于 同一 个 VLAN ,它们 属于 同一 个 广播 域 ;处 于 不 同 VLAN 的 端口 ,它们 属于 不 同 的 广播 
域 。 处 于 同一 个 VLAN 中 的 终端 计算 机 之 间 可 以 直接 互相 访问 ,处 于 不 同 VLAN 的 终端 
计算 机 之 间 不 可 以 直接 互相 访问 。 

在 实际 工程 项 目 中 ,基于 端口 的 VLAN 划分 一 般 都 是 跨 交 换 机 的 ,如 图 4.6 所 示 。 交 
换 机 Switchl 的 VLAN 划分 见 表 4.4。 交 换 机 Switch2 的 VLAN 划分 见 表 4. 5。 


Switch1 Switch2 
D —X— Som 
2960-24TT 2960-2411, 
f0/1 withl 10/20 ms tha f0/20 
10/2 MIO ANLASS) 102 m0 
CLAN CLAND TEL] 
CLAND LAN20) PCI: 192.168.1.1/24 
L PC3: 192.168.2.1/24 
E. d m Ll m LE [O Pca: 192.168.3.1/24 
PC-PT PC-PT PC-PT PC-PT — PC-PT PC-PT PC-PT — PC-PT| 
PCI PC2 PC3 PC4 PCS — PC6 PC7 PCS 
VLAN10: Fa0/1-Fa0/9 VLANI0: Fa0/1-Fa0/9 PCS: 192.168.1.2/24 
VLAN20: Fa0/10-Fa0/19 VLAN20: Fa/10- Fa0/19 PC7: 192.168.2.2/24 
VLAN30: Fa0/20-Fa0/24 VLAN30: Fa0/20- Fa0/24 PC8: 192.168.3.2/24 


图 4.6 跨 交换 机 VLAN 配置 网 络 拓扑 图 


交换 机 虚拟 局 域 网 的 特点 是 : 处 于 相同 VLAN 的 终端 计算 机 在 同一 个 广播 域内 ,处 于 
同一 个 广播 域 的 终端 计算 机 之 间 直 接 可 以 互相 访问 。 按 照 图 4. 6 所 示 , 并 依据 表 4. 4 以 及 
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表 4.5 端口 划分 要 求 ,分 别 将 两 台 交 换 机 的 端口 划分 到 相应 的 VLAN 中 。 将 终端 计算 机 配 
置 上 相应 的 网 络 地 址 参数 后 ,发 现 两 台 交 换 机 中 相同 VLAN 的 终端 计算 机 之 间 并 不 能 互相 
访问 。 通 过 分 析 发 现 , 两 台 交换 机 的 相同 VLAN 并 不 处 于 同一 个 广播 域 中 。 原 因 是 连接 两 
台 交 换 机 的 端口 G1/1 仍然 处 于 默认 的 VLAN1 中 ,VLAN10、VLAN20 以 及 VLAN30 的 
广播 域 不 能 跨越 端口 G1/1 到 达 另 一 台 交换 机 。 


表 4.4 交换 机 Switchl 的 VLAN 划分 


VLAN 号 端 口 
10 Fa0/1,Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6, Fa0/7, Fa0/8,Fa0/9 
20 Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18,Fa0/19 
30 Fa0/20,Fa0/21, Fa0/22, Fa0/23.Fa0/24 


表 4.5 交换 机 Switch2 的 VLAN 划分 


VLAN 号 端 口 
10 Fa0/1,Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6, Fa0/7, Fa0/8,Fa0/9 
20 Fa0/10, Fa0/11. Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18,Fa0/19 
30 Fa0/20,Fa0/21, Fa0/22, Fa0/23,Fa0/24 


若 要 求 处 于 交换 机 Switchl 的 VLAN10 的 终端 计算 机 和 处 于 交换 机 Switch2 的 
VLAN10 的 终端 计算 机 能 够 进行 互相 访问 ,使 它们 处 于 同一 个 广播 域 中 ,需要 将 两 台 交 换 
机 的 G1/1 端口 同样 划分 到 VLAN10 中 。 若 要 求 处 于 交换 机 Switchl 的 VLAN20 的 终端 
计算 机 和 处 于 交换 机 Switch2 的 VLAN20 的 终端 计算 机 能 够 互相 访问 ,使 它们 处 于 同一 个 
广播 域 中 ,又 需要 将 两 台 交换 机 的 G1/1 端口 划分 到 VLAN20 中 。 若 要 求 处 于 交换 机 
Switchl 的 VLAN30 的 终端 计算 机 和 处 于 交换 机 Switch2 的 VLAN30 的 终端 计算 机 能 够 
互相 访问 ,处 于 同一 个 广播 域 中 ,又 需要 将 两 台 交换 机 的 G1/1 端口 划分 到 VLAN30 中 。 
显然 ,两 台 交 换 机 中 只 用 一 根 线 相连 目前 来 说 似乎 不 能 满足 要 求 。 

如 果 同 时 要 求 处 于 Switch0 的 VLANIO 与 处 于 Switchl 的 VLANIO 通信 ,处 于 
Switch0 的 VLAN20 与 处 于 Switchl 的 VLAN20 通信 ,处 于 Switcho 的 VLAN30 与 处 于 
Switchl 的 VLAN30 通信 ,最 终 实 现 相 同 VLAN 的 终端 处 于 同一 广播 域 中 ,此 时 需要 在 两 
台 交 换 机 之 间 同 时 连接 3 条 线 。 这 3 条 线 的 两 个 端口 分 别 属于 VLAN10、VLAN20 以 及 
VLAN30, 具 体 如 图 4.7 所 示 。 

在 图 4.7 中 ,两 台 交 换 机 之 间 连 接 3 根 线 , 从 而 实现 它们 之 间 3 个 相同 VLAN 终端 计 
算 机 分 别 能 够 跨 交换 机 互相 访问 ,这 3 根 线 连接 的 交换 机 的 端口 分 别 属于 这 3 个 不 同 的 
VLAN。 其 中 两 台 交 换 机 的 F0/3 端口 用 来 连接 虚拟 局 域 网 VLAN10, 两 台 交换 机 FO/11 
端口 用 来 连接 虚拟 局 域 网 VLAN20, 两 台 交 换 机 Fo/24 端口 用 来 连接 虚拟 局 域 网 
VLAN30。 这 样 可 以 确保 两 台 交 换 机 相同 VLAN 间 终 端 设备 能 够 互相 通信 ,处 于 同一 个 广 
播 域 中 。 

通过 这 样 的 方式 实现 跨 交换 机 之 间 相 同 VLAN 互相 通信 显然 是 不 科学 的 。 随 着 
VLAN 数量 的 增加 ,需要 实现 不 同 交换 机 的 相同 VLAN 互相 通信 ,使 它们 处 于 同一 个 广播 
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图 4.7 跨 交 换 机 实现 多 VLAN 互相 访问 网 络 拓扑 图 


域 中 ,需要 两 台 交 换 机 相连 的 端口 数量 也 相应 增加 ,大 大 浪费 了 交换 机 的 端口 资源 。 通 过 改 
变 交换 机 级 联 端口 的 工作 模式 可 以 解决 这 个 问题 。 

两 台 具 有 多 个 相同 VLAN 的 交换 机 要 实现 跨 交 换 机 通信 ,实际 需要 一 根 连 接线 即 可 ， 
所 要 做 的 是 将 这 根 连 线 连接 的 交换 机 的 端口 设置 为 Trunk 模式 。 

以 太 网 交换 机 端口 有 3 种 链 路 类 型 ,分 别 为 Access, Trunk 以 及 Hybird。Access 类 型 
的 端口 只 能 属于 一 个 VLAN ,该 类 型 的 端口 一 般 用 于 连接 终端 计算 机 。Trunk 类 型 的 端口 
可 以 允许 多 个 VLAN 通过 ,可 以 接收 和 发 送 多 个 VLAN 的 报 文 ,该 类 型 端口 一 般 用 于 交换 
机 与 交换 机 之 间 级 联 。Hybrid 类 型 的 端口 可 以 允许 多 个 VLAN 通过 ,可 以 接收 和 发 送 多 
个 VLAN 的 报 文 ,可 以 用 于 交换 机 之 间 级 联 , 也 可 以 用 于 连接 终端 计算 机 。 

如 图 4.6 所 示 , 跨 交换 机 实现 多 VLAN 互相 访问 ,将 两 台 交换 机 的 级 联 端口 G1/1 分 
别 设置 为 Trunk 模式 的 具体 操作 过 程 如 下 。 


Switch# config t // 进 入 全 局 配置 模式 

Enter configuration commands, one per line. End with CNTL/Z. 

Switch (config)# interface gigabitEthernet 1/1 // 进 入 交换 机 的 级 联 端 口 61/1 
Switch (config- if)# switchport mode trunk // 将 该 端口 的 工作 模式 设置 为 rrunk 


$ LINEPROTO- 5- UPDOWN: Line protocol on interface gigabitEthernet1/1，changed state to down 

$ LINEPROTO- 5- UPDOWN: Line protocol on interface gigabitEthernetl/1l, changed state to up 

Switch (config— if)# 

通过 将 级 联 端口 设置 为 Trunk 模式 可 以 实现 跨 交换 机 多 VLAN 互相 访问 。 

关于 交换 机 端口 的 Access, Trunk 以 及 Hybird 3 种 工作 模式 ,需要 熟悉 它们 的 默认 缺 
省 VLAN。 具 体 情况 如 下 。 

Access 端口 只 属于 一 个 VLAN, 所 以 它 的 缺 省 VLAN 就 是 它 所 在 的 VLAN ,不 用 另外 
进行 设置 ; Hybrid 端口 和 Trunk 端口 属于 多 个 VLAN ,所 以 需要 另外 设置 其 缺 省 VLAN 
ID。 不 做 任何 配置 的 缺 省 情况 下 ,Hybrid 端口 和 Trunk 端口 的 缺 省 VLAN 为 VLAN 1. 

如 果 设 置 了 端口 的 缺 省 VLAN ID, 当 端口 接收 到 不 带 VLAN Tag 的 报 文 后 , 则 将 报 文 
转发 到 属于 缺 省 VLAN 的 端口 ; 当 端口 发 送 带 有 VLAN Tag 的 报 文 时 ,如 果 该 报 文 的 
VLAN ID 与 端口 缺 省 的 VLAN ID 相同 , 则 系统 将 去 掉 报 文 的 VLAN Tag, 然 后 再 发 送 该 
报 文 。 
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默认 情况 下 ,交换 机 端口 的 Trunk 工作 模式 允许 所 有 VLAN 通过 。 在 实际 工程 项 目 


中 ,有 时 需要 对 通过 Trunk 端口 的 VLAN 进行 过 滤 ,允许 部 分 VLAN 通过 ,而 另 一 部 分 
VLAN 不 通过 的 情况 。 图 4. 6 要 求 交 换 机 的 级 联 端口 G1/1 允许 VLAN10、VLAN20 通 
过 ,不 允许 VLAN30 通过 ,具体 配置 过 程 如 下 。 


Switchl# config t // 进 入 全 局 配置 模式 

Enter configuration commands, one per line. End with CNTL/Z. 

Switchl (config)# interface gigabitEthernet 1/1 // 进 入 交换 机 的 级 联 端 口 G1/1 
Switchl (config- if)# switchport mode trunk // 将 该 端口 的 工作 模式 设置 为 rrunk 


$ LINEPROTO- 5- UPDOWN: Line protocol on interface gigabitEthernet1/1，changed state to down 
% LINEPROTO- 5- UPDOWN: Line protocol on Interface GigabitEthernetl/1l, changed state to up 
Switchl (config- if)# switchport trunk allowed vlan 10,20 

// 该 命令 允许 VLAN10, VLAN2O 通过 ,拒绝 其 他 VLAN 通过 


通过 ping 命令 测试 网 络 连通 性 ,由 于 终端 计算 机 PC4 和 终端 计算 机 PC8 属于 


VLAN30 ,而 交换 机 的 级 联 端口 G1/1 设置 为 只 允许 VLAN10 和 VLAN20 通过 ,不 允许 
VLAN30 通过 ,所 以 理论 上 讲 终端 计算 机 PC4 和 PCS 是 不 可 以 互相 访问 的 。 具 体 在 终端 
PC4 上 通过 ping 命令 测试 和 终端 PC8 的 连通 性 ,测试 结果 如 下 。 


PC>ping 192.168.30.2 
Pinging 192.168.30.2 with 32 bytes of data: 

Request timed out. 

Request timed out. 

Request timed out. 

Request timed out. 

Ping statistics for 192.168.30.2: 

Packets: Sent =4, Received =0, Lost =4 (100$10ss), 


实验 结果 表明 ,两 台 交 换 机 属于 VLANSO 的 终端 计算 机 之 间 不 能 互相 通信 ,符合 实际 


理论 分 析 结果 。 


下 面 测 试 同属 于 VLANIO 的 两 台 交换 机 的 终端 计算 机 PCI 和 终端 计算 机 PCS 的 连通 


性 情况 。 由 于 级 联 端口 Trunk 模式 配置 允许 虚拟 局 域 网 VLANIO 通过 ,所 以 理论 上 它们 
之 间 是 可 以 互相 访问 的 ,结果 应 该 是 可 以 ping 通 的 。 具 体 结果 如 下 。 


PClping PC5 的 情况 
PC» ping 192.168.10.2 
Pinging 192.168.10.2 with 32 bytes of data: 
Reply from 192.168.10.2: bytes- 32 time- 30ms TTL- 128 
Reply from 192.168.10.2: bytes-32 time- 5ms TTL- 128 
Reply from 192.168.10.2: bytes- 32 time- 10ms TTL- 128 
Reply from 192.168.10.2: bytes- 32 time- 12ms TTL- 128 
Ping statistics for 192.168.10.2: 
Packets: Sent —4, Received =4, Lost =0 (0% 10ss), 
Approximate round trip times in milli- seconds: 
Minimum = 5ms, Maximum = 30ms, Average = 14ms 
PC» 
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结果 表明 ,两 台 交 换 机 同属 于 VLAN10 的 终端 计算 机 PCI 和 PC5 之 间 是 可 以 互相 通 
信 的 ,同样 测试 两 台 交换 机 同属 于 VLAN20 的 终端 计算 机 PC3 和 PC7 的 连通 性 情况 。 由 
于 级 联 端口 Trunk 模式 配置 允许 虚拟 局 域 网 VLAN20 通过 ,所 以 理论 上 它们 之 间 是 可 以 
互相 访问 的 。 具 体 测 试 结果 如 下 。 


PC3ping PC7 的 情况 
PC>ping 192.168.20.2 
Pinging 192.168.20.2 with 32 bytes of data: 
Reply from 192.168.20.2: bytes=32 time- 25ms TTL- 128 
Reply from 192.168.20.2: bytes=32 time- 8ms TTL- 128 
Reply from 192.168.20.2: bytes-32 time- 13ms TTI= 128 
Reply from 192.168.20.2: bytes- 32 time- 14ms TTL- 128 
ing statistics for 192.168.20.2: 
Packets: Sent =4, Received =4, Lost =0 (0% loss), 
Approximate round trip times in milli- seconds: 
Minimum = 8ms, Maximum —25ms, Average =15ms 
PC» 


结果 表明 ,两 台 交换 机 同属 于 VLAN20 的 终端 计算 机 PC3 和 PCT 之 间 是 可 以 互相 通 
信 的 。 关 于 图 4. 6 所 示 两 台 交 换 机 的 级 联 端口 G1/1 允许 VLAN10 和 VLAN20 通过 ,而 不 
允许 VLAN30 通过 的 要 求 ,也 可 以 通过 以 下 命令 实现 。 

Switch (config- if)# switchport trunk allowed vlan except 30 


// 排 除 VLAN30, 仅 不 允许 VLAN30 通过 ,其 他 VLaN 都 允许 通过 
Switch (config- if)# 


4.3 交换 机 VTP 技术 


4.3.1 VTP 简介 


在 实际 的 工程 项 目 中 ,往往 涉及 多 台 交 换 机 ,每 台 交换 机 都 需要 创建 VLAN 信息 。 如 
果 为 每 台 交 换 机 单独 创建 VLAN 信息 ,工作 量 比 较 大 ,并 且 可 能 由 于 操作 失误 导致 VLAN 
创建 出 错 ,从 而 导致 网 络 故障 。 

VLAN 中 继 协 议 (VLAN Trunking Protocol,VTP) 能 够 从 一 个 中 心 控制 点 开始 ,维护 
整个 互联 网 上 VLAN 信息 的 添加 和 重 命名 工作 ,确保 配置 的 一 致 性 ,很 好 地 解决 交换 机 之 
间 的 VLAN 信息 同步 问题 。 

VTP 也 称 为 虚拟 局 域 网 VLAN) 干 道 协议 。 它 是 思科 私有 协议 。 在 拥有 多 台 交换 机 
的 计算 机 网 络 中 配置 VLAN 的 工作 量 大 ,可 以 通过 使 用 VTP 将 一 台 交 换 机 配置 成 VTP 服 
务 器 (VTP Server) ,将 其 余 交 换 机 配置 成 VTP 客户 端 (VTP Client) ,这 样 VTP Client 交换 
机 可 以 自动 学 习 到 VTP Server 上 的 VLAN 信息 。 

1. VTP 原理 介绍 

VTP 属于 OSI 参考 模型 第 二 层 通 信 协 议 ,主要 用 于 管理 在 同一 个 域 的 网 络 范围 内 
VLAN 的 建立 删除 和 重 命名 。 在 一 台 VTP Server 上 配置 一 个 新 的 VLAN 时 ,该 VLAN 
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的 配置 信息 将 自动 传播 到 本 域内 的 其 他 所 有 交换 机 。 这 些 交 换 机 会 自动 接收 这 些 配置 信 
息 ,使 其 VLAN 的 配置 与 VTP Server 保持 一 致 ,从 而 减少 在 多 台 设 备 上 配置 同一 个 
VLAN 信息 的 工作 量 , 而 且 保持 了 VLAN 配置 的 统一 性 。 

VTP 有 3 种 工作 模式 ,分 别 为 VTP Server, VTP Client 以 及 VTP Transparent。 新 交 
换 机 出 厂 时 默认 所 有 端口 都 属于 VLAN1,VTP 默认 模式 为 服务 器 。 通 常情 况 下 ,一 个 
VTP 域内 整个 网 络 只 设置 一 个 VTP Server。VTP Server 维护 该 VTP 域 中 的 所 有 VLAN 
信息 列表 ,VTP Server 可 以 建立 .删除 或 修改 VLAN ,发 送 并 转发 相关 的 通告 信息 ,同步 
VLAN 配置 ,会 把 配置 保存 在 NVRAM 中 。VTP Client 虽然 也 维护 所 有 VLAN 信息 列 
表 , 但 其 VLAN 的 配置 信息 是 从 VTP Server 学 到 的 ,VTP Client 不 能 建立 ,删除 或 修改 
VLAN, 但 可 以 转发 通告 ,同步 VLAN 配置 ,不 保存 配置 到 NVRAM 中 。 

VTP Transparent 相当 于 一 项 独立 的 交换 机 , 它 不 参与 VTP 工作 ,不 从 VTP Server 学 
习 VLAN 配置 信息 ,只 拥有 本 设备 上 自己 维护 的 VLAN 信息 。VTP Transparent 可 以 建 
sr. .删除 和 修改 本 机 上 的 VLAN 信息 ,同时 会 转发 通告 并 把 配置 保存 在 NVRAM 中 。 

2. VTP 的 用 途 

通常 情况 下 ,需要 在 整个 园区 网 或 者 企业 网 中 的 一 组 交换 机 中 保持 VLAN 数据 库 的 同 
步 ,以 保证 所 有 交换 机 都 能 从 数据 帧 中 读 取 相关 的 VLAN 信息 并 进行 正确 的 数据 转发 。 然 
而 ,对 于 大 型 网 络 来 说 ,可 能 有 成 百 上 千 台 交换 机 ,而 一 台 交 换 机 都 可 能 存在 几 十 乃至 数 百 
个 VLAN, 如 果 仅 凭借 网 络 工程 师 手 工 配 置 ,其 工作 量 相当 大 ,而 且 也 不 利于 日 后 维护 一 一 
每 次 添加 、 修 改 或 删除 VLAN 信息 ,都 需要 在 所 有 的 交换 机 上 进行 配置 。 在 这 种 情况 下 引 
入 VTP, 通 过 VTP 技术 可 以 解决 这 些 问题 。 

要 使 用 VTP, 首 先 必须 建立 一 个 VTP 管理 域 ,在 同一 管理 域 中 的 交换 机 共享 VLAN 
信息 ,而 且 一 个 交换 机 只 能 参加 一 个 管理 域 , 不 同 域 中 的 交换 机 不 能 共享 VLAN 信息 。 


4.3.2. VTP 配置 


如 图 4. 8 所 示 的 网 络 拓扑 结构 ,最 上 面 这 台 交 换 机 配置 为 VTP Server. F ilii Pj A 25 d 
机 配置 为 VTP Client, 在 VTP Server 上 创建 新 的 VLAN 信息 ,VTP Client 交换 机 能 够 自 
动 获得 相关 VLAN 信息 。 具 体 配 置 过 程 如 下 。 

首先 对 最 上 面 的 Switehl 交换 机 进行 配置 ,将 它 配 置 成 VTP 服务 器 。 


Switch# config t // 进 入 全 局 配置 模式 

Enter configuration commands, one per line. End with CNTL/Z. 

Switch (config)# hostname switchl // 重 命名 交换 机 名 称 

switchl (config)# vtp mode server // 将 交换 机 配置 成 vere 服务 器 模式 
Device mode already VTP SERVER. 

switch] (config)# vtp domain tdp // 配 置 交换 机 VTP 域名 

Domain name already set to tdp. 

switchl (config)#vtp password 123 // 配 置 vIP 验证 密码 


Password already set to 123 
接 下 来 配置 Switch2, 将 其 配置 为 VTP 客户 端 。 
Switch# config t // 进 入 全 局 配置 模式 
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VTP Server 
pm 
^ Switchl DN 
eu Nea 
^ / PCIIP:19168101 78 
VTP Client e PCIE: 192 168301 = VTP Client 
EN PC4 IP: 192.168.10.2 pen 


PCS IP: 192.168.20.2 
PC6 IP: 192.168.30.2 


PC-PT PC-PT PC-PT 


PC2 PC4 PCS 
VLANID: fa0/1~fa0/9 VLANI0: fa0/1—fa0/9 
VLAN20: fa0/10—fa0/19 VLAN20: fa0/10~fa0/19 
VLAN30: fa0/20~fa0/24 VLAN30: fa0/20~fa0/24 


图 4.8 VTP 配置 网 络 拓扑 图 


Enter configuration commands, one per line. End with CNTL/Z. 


Switch (config) #hostname switch2 // 重 命名 交换 机 名 称 

Switch2 (config)$ vtp mode client // 将 交换 机 配置 成 vTP 客 户 端 

Setting device to VTP CLIENT mode. 

switch2 (config)# vtp domain tdp // 配 置 交换 机 vre 域名 ,与 服务 器 端 相同 
Changing VTP domain name from NULL to tdp 

switch2 (config)# vtp password 123 // 配 置 vTP 验证 密码 ,与 服务 器 端 相 同 


Setting device VLAN database password to 123 


同样 对 Switch3 进行 配置 ,将 其 配置 为 VTP Client。 


Switch# config t // 进 入 全 局 配置 模式 

Enter configuration commands, one per line. End with CNTL/Z. 

Switch (config)#hostname switch3 // 重 命名 交换 机 名 称 

Switch3 (config)$ vtp mode client // 将 交换 机 配置 成 vTP 客 户 端 

Setting device to VTP CLIENT mode. 

switch3 (config)# vtp domain tdp // 配 置 交换 机 VTP 域名 ,与 服务 器 端 相同 
Changing VTP domain name from NULL to tdp 

switch3 (config)# vtp password 123 // 配 置 VIP 验证 密码 ,与 服务 器 端 相 同 


Setting device VLAN database password to 123 
switch3(config)# 


在 Switchl 交换 机 上 创建 3 个 VLAN., 分 别 为 VLAN10,VLAN20 以 及 VLAN30。 


switchl(config)fvlan 10 // 创 建 VLAN10 
switchl (config- vlan)$£ vlan 20 // 创 建 VLAN20 
Switchl(config-vlan)$ vlan 30 // 创 建 VLAN30 


switchl(config-vlan)& 
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将 VTP Server 交换 机 Switchl 与 VTP Client 交换 机 Switch2 相连 的 链 路 的 级 联 端口 
配置 成 中 继 链 路 。 配 置 过 程 如 下 。 


switchl# config t // 进 入 vr? Server 交换 机 的 全 局 配置 模式 
Enter configuration commands, one per line. End with CNTL/Z. 

switchl (config)# interface gigabitEthernet 1/1 

// 进 入 VTP Server 交换 机 switchl 与 VTP Client 交换 机 Switchl 的 级 联 端口 61/1 

switchl (config- if)# switchport mode trunk // 将 级 联 端口 配置 成 Trunk 

$ LINEPROTO- 5- UPDOWN: Line protocol on interface gigabitEthernet1/1, changed state to down 
$ LINEPROTO- 5- UPDOWN: Line protocol on interface gigabitEthernetl/1, changed state to up 


同样 将 V TP Server 交换 机 Switchl 与 VTP Client 交换 机 Switch3 相连 的 链 路 的 级 联 
端口 配置 成 中 继 链 路 。 具 体 配置 过 程 如 下 。 


Switch] (config)# interface gigabitEthernet 1/2 

// 进 入 VTIP Server 交换 机 Switchl 与 VTP Client 交换 机 Switch? 的 级 联 端口 61/2 
Switchl (config- if)# switchport mode trunk // 将 级 联 端 口 配 置 成 Trunk 模式 
$ LINEPROTO- 5- UPDOWN: Line protocol on interface gigabitEthernetl/2, changed state to down 
$ LINEPROTO- 5- UPDOWN: Line protocol on interface gigabitEthernetl/2, changed state to up 
switchl(config-if)$ 


需要 说 明 的 是 ,与 Switchl 相连 的 VTP Client 交换 机 Switch2 的 级 联 端 口 G1/1 以 及 
与 Switchl 相连 的 VTP Client 交换 机 Switch3 的 级 联 端口 G1/2 都 已 经 自 适应 为 中 继 模 
式 , 不 需要 额外 进行 配置 。 如 果 需 要 单独 进行 配置 , 则 将 它们 配置 成 Trunk 模式 ,具体 命令 
同上 。 

接 下 来 验证 实验 效果 ,首先 验证 VTP Client 交换 机 Switch2 的 VLAN 信息 ,通过 命令 
show vlan 查看 结果 如 下 。 


switch2# show vlan 

VLAN Name Status Ports 

E default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 
Fa0/5, Fa0/6, Fa0/7, Fa0/8 
Fa0/9, Fa0/10, Fa0/11, Fa0/12 
Fa0/13, Fa0/14, Fa0/15, Fa0/16 
Fa0/17, Fa0/18, Fa0/19, Fa0/20 
Fa0/21, Fa0/22, Fa0/23, Fa0/24 


Gigl/2 
10  VLANOO10 active 
20  VLANO020 active 
30  VLANO030 active 
1002 fddi- default act/unsup 
1003 token- ring- default act/unsup 
1004 fddinet- default act/unsup 
1005 trnet- default act/unsup 


这 样 ,交换 机 Switch2 作为 VTP Client 自动 学 习 了 VTP Server 上 的 VLAN 信息 。 同 
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样 ,Switch3 作为 VTP Client 也 自动 学 习 了 VTP Server 上 的 VLAN 信息 。 


4.4 交换 机 网 络 健壮 性 增强 技术 


4.4.1 生成 树 协 议 简介 


在 实际 的 工程 项 目 中 ,交换 机 与 交换 机 之 间 往 往 有 多 条 链 路 ,以 提供 路 径 宛 余 ,目的 是 
一 条 链 路 的 损坏 不 影响 整个 网 络 的 互联 互通 。 在 具有 路 径 完 余 的 网 络 中 , 当 交 换 机 接收 到 
一 个 未 知 目的 地 址 的 数据 帧 时 ,交换 机 的 操作 是 将 这 个 数据 帧 广播 出 去 ,这 样 ,具有 宛 余 路 
径 的 交换 网 络 中 容易 产生 广播 环 ,甚至 产生 广播 风暴 ,广播 风暴 的 产生 会 占用 交换 机 大 量 系 
统 资源 ,从 而 导致 交换 机 死机 。 如 何 解 决 既 要 有 物理 元 余 链 路 保证 网 络 的 可 靠 性 ,又 能 避免 
元 余 环 路 产生 广播 风暴 ? 生成 树 协议 (Spanning Tree Protocol. STP) fE t E39 $t E IBr 7T [sl 
络 的 环 路 ,防止 广播 风暴 产生 ,而 一 旦 正在 使 用 的 线路 出 现 故 障 , 逮 辑 上 被 断 开 的 线路 又 被 
连通 ,继续 传输 数据 。 因 此 ,生成 树 协议 能 够 很 好 地 解决 具有 守 余 链 路 网 络 的 广播 风暴 问 
题 。 到 目前 为 止 ,STP 一 共有 3 代 ,分 别 为 第 一 代 STP/RSTP、 第 二 代 PVST/PVST 十 .第 
三 代 MTSTP/MSTP。 

STP 的 原理 是 将 一 个 有 环 路 的 桥接 网 络 修剪 成 一 个 无 环 路 的 树 形 拓扑 结构 ,按照 树 的 
结构 构造 网 络 拓扑 ,消除 网 络 中 的 环 路 ,通过 一 定 的 方法 实现 路 径 宛 余 。STP 能 够 确保 数 
据 帧 在 某 一 时 刻 从 一 个 源 出 发 ,到 达 网 络 中 任何 一 个 目标 路 径 只 有 一 条 ,而 其 他 路 径 都 处 于 
非 激 活 状 态 ( 即 不 能 进行 转发 ) , 若 在 网 络 中 发 现 某 条 正在 使 用 的 链 路 出 现 故 障 时 ,网 络 中 开 
Ja Y STP 技术 的 交换 机 会 将 非 激活 状态 的 阻塞 端口 打开 ,恢复 曾经 断 开 的 链 路 ,从 而 确保 
网 络 的 连通 性 。 

如 图 4.9 Bros ,从 PCO 到 达 PCI 的 数据 帧 会 经 过 中 间 由 3 台 交 换 机 组 成 的 环 路 ,STP 
会 选择 一 条 最 短 的 路 径 让 数据 帧 从 PC0 到 达 PC1。 假 如 STP 通过 计算 ,认为 从 Switch0 到 
Switchl 再 到 Switch2 最 终 到 达 PC1 是 最 短路 径 ,此 时 Switcho 到 Switch2 的 线路 端口 处 于 
非 激活 状态 , 即 有 关 的 端口 处 于 阻塞 状态 。 如 果 Switchl 出 现 了 故障 ,导致 Switch0 到 
Switchl 不 能 传输 数据 ,那么 STP 会 激活 Switch0 到 Switch2 的 链 路 ,确保 数据 帧 能 够 到 
达 PC1。 


2960-24TT GI/2 
1/1 4 
8 1 f Switchl ps 
* 


r4 
p ES 
7 * 
/ bs 
Pa 
\ 
GUI AN ~ GIR 
0 Zu ro [| 
G1/2 / mL 
PCPT -— 2960-24TT e 2960-24TT PCPT — 
PCO Switch0 Switch2 PCI 


4.9 两 个 终端 之 间 有 多 条 链 路 下 的 生成 树 协议 网 络 拓扑 图 


再 如 图 4. 10 所 示 ,交换 机 Switcho 和 交换 机 Switchl 之 间 有 两 条 砚 余 链 路 ,从 PC0 到 
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PC1 的 数据 帧 会 经 过 这 两 台 交 换 机 组 成 的 环 路 ,STP 会 选择 一 条 路 径 让 数据 帧 从 PCO 到 
PC1, 假 如 STP 通过 计算 ,认为 从 交换 机 Switch0 的 端口 G1/1 到 交换 机 Switchl 的 端口 
G1/1 为 最 佳 路 径 , 此 时 交换 机 Switch0 的 端口 G1/2 到 交换 机 Switchl 的 端口 G1/2 处 于 
非 激 活 状 态 , 即 有 关 的 端口 处 于 阻塞 状态 。 如 果 交 换 机 Switcho 的 端口 G1/1 到 交换 机 
Switchl 的 端口 G1/1 链 路 出 现 了 故障 ,导致 不 能 传输 数据 ,那么 STP 会 激活 Switcho 的 端 
口 G1/2 到 交换 机 Switchl 的 端口 G1/2 链 路 ,以 确保 数据 帧 能 够 顺利 到 达 PCI. 


各 F0 øm G1/1 Gut — F0! [T 

E. Gi» G2 AE. 

PC-PT 2960-24TT 2960-24TT CPT 
PCO Switch0 Switchl PCI 


图 4.10 ”交换 机 与 交换 机 之 间 多 条 链 路 下 的 生成 树 协议 网 络 拓扑 图 


4.4.2 STP 原理 


HEP — T REIR IIS Id £t dpi dh «2H 563 BLZ BUR T rPU6EYRIBE eio 2:38 58 9 EH OE — 17 2X 3€ AC 
余 端 口 实现 无 环 拓扑 , 当 网 络 拓扑 发 生变 化 时 ,运行 STP 的 交换 机 会 自动 重新 配置 它 的 端 
口 , 以 避免 环 路 产生 或 连接 丢失 。 

1. 选择 根 桥 ( 根 交换 机 )RB 

在 网 络 中 需要 选择 一 台 根 交换 机 RB. RB 的 选择 是 由 交换 机 自主 进行 的 ,交换 机 之 间 
通信 信息 称 为 BPDU( 桥 协议 数据 单元 ) ,每 2s 发 送 一 次 ,BPDU 中 包含 的 信息 较 多 ,但 RB 
的 选择 只 比较 BID( 桥 ID), BID 最 小 的 就 是 根 交换 机 。BID= 桥 优先 级 十 桥 MAC 地 址 ， 
BPDU 数据 帧 中 的 网 桥 ID 有 8B, 它 是 由 2B 的 网 桥 优 先 级 和 6B 的 背 板 MAC 组 成 的 ,其 中 
网 桥 优先 级 的 取 值 范围 是 0 一 65 535 ,默认 值 是 32 768, 即 先 比较 桥 优 先 级 ,然后 再 比较 桥 
MAC 地 址 。 一 般 来 说 , 桥 优先 级 都 是 一 样 的 ,都 是 32 768, 所 以 一 般 只 比较 桥 MAC 地 址 ， 
将 MAC 地 址 最 小 (也 就 是 BID 最 小 ?的 作为 RB. 

2. 选择 根 端口 RP 

对 于 每 台 非 根 桥 ,都 要 选择 一 个 端口 用 来 连接 到 根 桥 ,这 就 是 根 端 口 , 从 所 有 非 根 网 桥 
交换 机 上 的 不 同 端口 之 间 选 举 出 一 个 到 根 网 桥 最 近 的 端口 作为 跟 端口 。 

根 端口 的 判定 条 件 如 下 : 首先 比较 端口 到 根 网 桥 路 径 开销 ,开销 最 小 的 为 根 端口 ,开销 
相同 的 情况 下 ,比较 发 送 方 网 桥 ID,BID= 桥 优先 级 十 桥 MAC 地 址 ,最 小 的 为 根 端口 ,网 桥 
ID 相同 的 情况 下 比较 发 送 方 端口 IDCPIDO ,端口 ID 有 16 位 , 它 由 8 位 端口 优先 级 和 8 位 
端口 编号 组 成 ,其 中 端口 优先 级 的 取 值 范围 是 0 一 240, 默 认 值 是 128, 可 以 修改 ,但 必须 是 
16 的 倍数 ,端口 ID 最 小 的 为 根 端口 。 

根 端口 只 能 在 非 根 交换 机 上 选取 。 当 非 根 桥 有 多 个 端口 连接 到 根 桥 时 ,应 该 选择 性 能 
比较 好 的 端口 作为 根 端口 ,选择 的 依据 是 : 首先 比较 开销 Q, 带 宽 10Mb/s 端口 开销 为 100， 
带宽 100Mb/s 端口 开销 为 19 ,带宽 1000Mb/s 端口 开销 为 4。 

3. 选择 指定 端口 DP 

在 每 一 个 物理 网 段 的 不 同 端口 之 间 选 举 出 一 个 指定 端口 。 指 定 端口 的 判定 过 程 如 下 : 
首先 比较 网 桥 到 根 网 桥 路 径 开销 ,开销 最 小 的 端口 为 指定 端口 ,开销 相同 的 情况 下 ,比较 发 
送 方 网 桥 ID 值 ,网 桥 ID 值 最 小 的 为 指定 端口 .BID== 桥 优先 级 十 桥 MAC 地 址 ,网 桥 TD 相 
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同 的 情况 下 ,比较 发 送 方 端口 ID. S F1 ID 有 16 位, 它 由 8 位 端口 优先 级 和 8 位 端口 编号 组 
成 ,其 中 端口 优先 级 的 取 值 范围 是 0 一 240, 默 认 值 是 128, 可 以 修改 ,但 必须 是 16 的 倍数 , 端 
口 ID 最 小 的 为 指定 端口 。 

在 每 一 个 交换 机 之 间 的 链 路 上 选择 一 个 端口 ,作为 指定 端口 。 根 桥 没有 根 端口 ,有 的 只 
是 指定 端口 。 其 余 的 端口 首先 比较 到 根 桥 的 开销 ,开销 小 的 为 指定 端口 ,开销 相同 的 比较 交 
换 机 的 BID,BID 小 的 交换 机 的 端口 为 指定 端口 。 

4. RP DP 设置 为 转发 状态 ,其 他 端口 设置 为 阻塞 状态 

选 出 来 的 RP 和 DP 将 设 为 转发 状态 , 既 不 是 根 端口 ,也 不 是 指定 端口 的 其 他 端口 将 被 
阻止 (Block)。 通 过 上 述 4 步 ,就 可 以 形成 无 环 路 的 网 络 。 

如 图 4. 11 所 示 ,首先 选择 根 桥 交换 机 RB: 3 台 交 换 机 的 优先 级 以 及 MAC 地 址 如 下 。 


Switch0: default 优先 级 32768  VLAN1 MAC 地 址 : 0060.3e05.4ceb 
Switchl: default 优先 级 32768  VLAN1 MAC 地 址 : 0060.2f9d.dael 
Switch2: default 优先 级 32768  VLAN1 MAC 地 址 : 0060.3e3d.4caa 


Switchl MAC: 0060.2f9d.dael 


指定 端口 ， RR uon: 


GUI Swithl — x Gi 
7 N 

7 x, 

^ s 
2m 根 端 口 7 、、 根 端口 -— 
[a em IE Block! e | 
= G1⁄2 — 
D Gl N 
PC-PT 2960-24TT 2960-24TT PC-PT 
PCO Switch0 Switch2 PCI 

Switchü MAC: 0060.3e05.4ceb. Switch2 MAC: 0060.3e3d.4caa 


图 4.11 生成 树 协议 工作 原理 拓扑 图 


很 明显 ,在 优先 级 相等 的 情况 下 ,MAC 地 址 Switchl 的 最 小 ,所 以 Switchl 为 根 RB 交 
换 机 。 

其 次 选择 根 端口 RP. 

对 于 每 台 非 根 桥 ,Switch0 和 Switchl 要 选择 一 个 端口 用 来 连接 到 根 桥 ,作为 根 端 口 。 
选择 依据 是 : 首先 比较 开销 ,其 次 比较 BID, 最 后 比较 PID( 端 口 ID) 。 

交换 机 Switcho 有 两 个 端口 G1/1 和 端口 G1/2 能 够 连接 到 根 桥 交换 机 Switchl, 如 
图 4. 12 所 示 , 从 端口 G1/1 到 根 桥 交换 机 Switchl 的 开销 为 4, 从 端口 G1/2 到 根 桥 交换 机 
Switchl 的 开销 为 4 十 4 一 8, 所 以 将 交换 机 Switch0 的 端口 G1/1 设置 为 根 端口 。 

交换 机 Switch2 有 两 个 端口 G1/1 和 端口 G1/2 能 够 连接 到 根 桥 交 换 机 Switchl, 从 端 
口 G1/2 到 根 桥 交 换 机 Switchl 的 开销 为 4, 从 端口 G1/1 到 根 桥 交 换 机 Switchl 的 开销 为 
4 十 4 一 8, 所 以 将 交换 机 Switch2 的 端口 G1/2 设置 为 根 端口 。 

接 下 来 选择 指定 端口 。 

从 交换 机 与 交换 机 之 间 选 择 一 个 端口 为 指定 端口 , 根 桥 交 换 机 Switchl 没有 根 端口 , 它 
的 两 个 端口 G1/1 和 G1/2 分 别 连接 交换 机 Switcho 的 根 端口 G1/1, 以 及 交换 机 Switch2 
的 根 端口 G1/2。 所 以 , 根 桥 交 换 机 的 两 个 端口 G1/1 和 G1/2 为 指定 端口 。 


73 


网 络 互联 技术 与 实践 


Switchüfshow spanning-tree 
VLANOOOl 
Spanning tree enabled protocol ieee 
Root ID Priority 32769 


Address 0000.0C4C.761D 
Cost 4 
Port 25(GigabitEthernetl/l) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) 
Address 0009.7C98.3E8A 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 
Gil/2 Desg FWD 4 128.26  P2p 
Gil/l Root FWD 4 128.25  P2p 


图 4. 12 查看 交换 机 端口 开销 


从 交换 机 Switcho 的 端口 G1/2 和 交换 机 Switch2 的 端口 G1/1 之 间 选 择 一 个 指定 端口 ， 
由 于 Switcho 的 端口 G1/2 到 根 桥 的 开销 和 Switch2 的 端口 G1/1 到 根 桥 的 开销 相同 ,所 以 比 
较 这 两 个 交换 机 的 BID, 由 于 交换 机 Switcho 和 Switch2 的 优先 级 相同 , 均 为 32 768, 所 以 接 下 
来 比较 这 两 个 交换 机 的 MAC 大 小 ,Switcho VLANI MAC 地 址 为 0060. 3e05. 4ceb; Switch2 
VLANI MAC 地 址 为 0060. 3e3d. 4caa。 显 然 ,Switch0 的 MAC 小 ,所 以 从 交换 机 Switcho 的 端 
口 G1/2 和 交换 机 Switch2 的 端口 G1/1 之 间 选 择 Switch 的 端口 G1/2 为 指定 端口 。 

最 后 将 RP、DP 设置 为 转发 状态 ,将 其 他 端口 设置 为 阻塞 状态 。 也 就 是 说 ,将 Switch2 
的 端口 G1/1 设置 为 阻塞 状态 ,具体 如 图 4. 11 所 示 。 

如 图 4. 13 所 示 ,两 台 交 换 机 两 条 宛 余 链 路 下 的 STP 工作 情况 分 析 , 首 先 选择 根 桥 交 换 
机 RB。 两 台 交换 机 的 优先 级 及 VLANI1 的 MAC 地 址 如 下 。 


Switch0: default 优先 级 32768  VLAN1 MAC 地 址 : 00e0.b0b9.4e9e 
Switchl: default 优先 级 32768 VLAN1 MAC 地 址 : 000c.8566.6888 


根 RB 
Switchü MAC: 00e0.bOb9.4e9e Switchl MAC: 000c.8566.6888 
CT FO rrr GUI 根 端 口 指定 端口 G11 F0/1 
二 
PC-PT 296024TT S12 指定 端口 G122960.24TT PC-PT 
PCO Switch0 Block! Switchl PCI 


图 4.13 两 台 交换 机 多 条 宛 余 链 路 下 的 STP 

很 明显 ,在 优先 级 相等 的 情况 下 ,MAC 地 址 Switchl 的 小 ,所 以 Switchl 为 根 RB 交 
换 机 。 

其 次 选择 根 端口 RP. 

对 于 非 根 桥 Switch0 两 条 链 路 分 别 选择 根 端口 连接 到 根 桥 ,选择 依据 是 : 首先 比较 开 
销 ,其 次 比较 BID, 最 后 比较 PID( 端 口 ID)。 

由 于 交换 机 Switcho 有 端口 G1/1 和 端口 G1/2 能 够 连接 到 根 桥 交 换 机 Switch1, 从 端 
口 G1/1 到 根 桥 交 换 机 Switchl 的 开销 为 4, 从 端口 G1/2 到 根 桥 交 换 机 Switchl 的 开销 为 
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4, 在 开销 相同 的 情况 下 ,比较 BID, 由 于 这 两 个 端口 在 同一 台 交 换 机 上 ,因此 BID 相同 ,最 后 
比较 PID, 由 于 两 个 端口 的 优先 级 相同 ,因此 比较 端口 号 ,将 端口 号 小 的 设置 为 根 端 口 ,所 以 
将 交换 机 Switcho 的 端口 G1/1 设置 为 根 端口 。 

接着 选择 指定 端口 。 

从 交换 机 与 交换 机 之 间 的 每 条 链 路 选择 一 个 端口 为 指定 端口 , 根 桥 交换 机 Switchl 两 
个 端口 G1/1 和 G1/2 分 别 连接 交换 机 Switcho 的 根 端 口 G1/1, 以 及 交换 机 Switch 的 端 
口 G1/2。 所 以 , 根 桥 交 换 机 端口 G1/1 为 指定 端口 。 

从 交换 机 Switcho 的 端口 G1/2 和 交换 机 Switchl 的 端口 G1/2 之 间 选 择 一 个 指定 端 
口 ,因为 Switcho 的 端口 G1/2 到 根 桥 的 开销 大 于 Switchl 的 端口 G1/2 到 根 桥 的 开销 ,所 
以 交换 机 Switchl 的 端口 G1/2 为 指定 端口 。 

最 后 将 RP、DP 设置 为 转发 状态 ,将 其 他 端口 设置 为 阻塞 状态 。 也 就 是 说 ,将 Switch0 
的 端口 G1/2 设置 为 阻塞 状态 ,具体 如 图 4. 13 所 示 。 


4.4.3 PVST 


每 个 VLAN 生成 树 (Per-VLAN Spanning Tree,PVST) 是 解决 在 虚拟 局 域 网 上 处 理 生 
成 树 的 Cisco 特有 方案 。PVST 为 每 个 虚拟 局 域 网 运行 单独 的 生成 树 实例 。 一 般 情 况 下 ， 
PVST 要 求 在 交换 机 之 间 的 中 继 链 路 上 运行 Cisco 的 ISL(Inter-Switch Link Protocol) 。 

PVST 为 每 个 在 网 络 中 配置 的 VLAN 维护 一 个 生成 树 实例 。PVST 对 待 每 个 VLAN 
作为 一 个 单独 的 网 络 。 

Cisco 很 快 推 出 了 经 过 改进 的 PVST 十 协议 ,并 成 为 交换 机 产品 的 默认 生成 树 协议 。 经 
过 改进 的 PVST 十 协议 在 VLANI 上 运行 普通 STP, 在 其 他 VLAN 上 运行 PVST 协议 ， 
PVST 十 协议 可 以 与 STP/RSTP 互通 ,在 VLAN1 上 生成 树 协议 按照 STP 计算 。 在 其 他 
VLAN 上 ,普通 交换 机 只 会 把 PVST BPDU 当 作 多 播报 文 按照 VLAN 号 进行 转发 ,但 这 并 
不 影响 环 路 的 消除 ,只 是 有 可 能 VLANI 和 其 他 VLAN 的 根 桥 状态 可 能 不 一 致 。 由 于 每 个 
VLAN 都 有 一 棵 独立 的 生成 树 ,因此 单 生成 树 的 种 种 缺陷 都 被 克服 了 。 

PVST 的 缺陷 表现 在 以 下 3 个 方面 。 

CD 由 于 每 个 VLAN 都 需要 生成 一 棵 树 , 所 以 PVST BPDU 的 通信 量 将 正比 于 Trunk 
的 VLAN 个 数 。 

(2) 在 VLAN 个 数 比 较 多 的 时 候 , 维 护 多 棵 生成 树 的 计算 量 和 资源 占有 量 将 急剧 增 
长 。 特 别 是 当中 继 了 很 多 VLAN 的 端口 状态 变化 时 ,所 有 生成 树 的 状态 都 要 重新 计算 ， 
CPU 将 不 堪 重 负 。 所 以 ,Cisco 交换 机 限制 了 VLAN 的 使 用 个 数 , 同 时 不 建议 在 一 个 端口 
上 中 继 很 多 VLAN. 

(3) 由 于 协议 的 私有 性 ,PVST/PVST 十 不 能 像 STP/RSTP 一 样 得 到 广泛 的 支持 ,不 
同 厂家 的 设备 并 不 能 在 这 种 模式 下 直接 互通 ,只 能 通过 一 些 变通 的 方式 实现 。 


4.4.4 FIM PVST 实现 网 络 负载 均衡 
1. 基本 实现 过 程 分 析 
1) 网 络 拓扑 构建 
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PVST 配置 网 络 拓扑 图 如 图 4. 14 所 示 ,整个 网 络 拓扑 由 3 台 Cisco 2960 交换 机 和 6 台 
计算 机 组 成 ,交换 机 S2 和 交换 机 S3 之 间 利 用 交叉 线 通过 端口 Fa0/1 和 端口 Fa0/2 连接 ， 
交换 机 SI 和 交换 机 S3 之 间 利 用 交叉 线 通 过 端口 Fa0/3 和 端口 Fa0/4 连接 ,交换 机 S1 的 
Fa0/1 和 交换 机 S2 的 端口 Fa0/3 通过 交叉 线 连接 .交换 机 SI 的 Fa0/2 和 交换 机 S2 的 
Fa0/4 通过 交叉 线 连接 。3 台 交 换 机 的 网 络 拓扑 形成 一 个 网 络 环 。 


财务 部 人 事 部 销售 部 
172.17.10.24/24 — 172.1720.25/24.172.17.30.26/24 
VLANIO VLAN20 VLAN30 


PC-PT PC-PT PC-PT 
PCI PC2 PC3 


VLANIO VLAN20 VLAN30 
172.17.10.21/24 172.17.20.22/24 172.17.30.2324 
部 AK LII 


图 4.14 PVST 配置 网 络 拓扑 图 


PC1 连接 交换 机 S1 的 Fa0/6 口 ,PC2 连接 交换 机 SI 的 Fa0/11 口 ,PC3 连接 交换 机 S1 
的 Fa0/18 口 。PC4 连接 交换 机 S2 的 Fa0/6 口 ,PC5 连接 交换 机 S2 的 Fa0/11 口 ,PC6 连 
接 交 换 机 S2 的 Fa0/18 H. 

2) VLAN 设计 以 及 网 络 地 址 规划 

连接 交换 机 ST 的 3 台 计算 机 分 别 代表 3 个 不 同 的 部 门 ,划分 3 个 不 同 的 VLAN, 划 分 
的 VLAN 分 别 为 VLAN10、VLAN20 以 及 VLAN30, 其 中 PCI 所 在 的 VLAN10 属于 财务 
部 .PC2 所 在 的 VLAN20 属于 人 事 部 ,PC3 所 在 的 VLAN30 属于 销售 部 。 

财务 部 所 在 的 VLAN10 网 络 地 址 设置 为 172. 17. 10. 0/24, 人 事 部 所 在 的 VLAN20 网 
络 地 址 设置 为 172. 17. 20. 0/24 ,销售 部 所 在 的 VLAN30 网 络 地 址 设置 为 172. 17. 30. 0/24。 

利用 同样 的 划分 方式 对 交换 机 S2 进行 VLAN 划分 。 交换机 S1 和 交换 机 S2 的 
VLAN 设计 以 及 网 络 地址 规划 见 表 4. 6. 


表 4.6 交换 机 SI 和 交换 机 S2 的 VLAN 设计 以 及 网 络 地 址 规划 
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VLAN 5 | 所 属 部 门 端口 分 配 网 络 地 址 分 配 
10 财务 部 | Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10 172.17. 10. 0/24 
20 人 事 部 | Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17 | 172.17. 20. 0/24 
30 销售 部 | Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24 | 172.17. 30. 0/24 


3) 配置 VTP 并 创建 VLAN 


将 Sl 设置 为 VTP 的 服务 端 ,将 S2 和 S3 设置 为 VTP 客户 端 。 在 SI 上 创建 VLANIO, 


S1 (config)#vtp mode server 

S1 (config)# vtp domain wenzhengxueyuan 
Sl (config)#vlan 10 

S1 (config- vlan)#name caiwu 

S1(config- vlan) #exit 

Sl (config)# vlan 20 

S1 (config- vlan) # name renshi 
S1(config- vlan) #exit 

Sl (config)# vlan 30 

Sl (config- vlan) # name xiaoshou 

S2 (config) #vtp mode client 

S2 (config)$ vtp domain wenzhengxueyuan 
S3 (config)# vtp mode client 

S3 (config) # vtp domain wenzhengxueyuan 


DE 配置 中 继 链 路 


VLAN20 以 及 VLAN30 ,并 命名 为 caiwu\renshi 以 及 xiaoshou。 


// 将 交换 机 si 的 vrP 设 置 为 服务 模式 
// 为 VTP 设 置 域名 

// 在 交换 机 si1 上 创建 VLAN10 

// 为 VLAN10 命 名 


// 在 交换 机 Ss1 上 创建 VLAN20 
// 为 VLAN20 命 名 


// 在 交换 机 sl1 上 创建 VLAN30 

// 为 VLAN30 命 名 

// 将 交换 机 s2 的 vrP 设 置 为 客户 端 模式 
// 为 VIP 设置 域名 

// 将 交换 机 s3 的 vTP 设 置 为 客户 端 模式 
// 为 VIP 设置 域名 


将 交换 机 Sl 的 Fal 一 Fa4 号 口 设置 为 Trunk 模式 。 


Sl (config)# interface range fastEthernet 0/1 -4 


S1 (config- if- range)# switchport mode trunk 


// 采 用 同样 的 方法 配置 交换 机 s2 和 交换 机 S3 的 Fa0/1 一 Fa0/4 号 口 为 rrunk 模 式 


5) 为 VLAN 分 配 交 换 机 端口 


S1 (config)# interface range fastEthernet 0/6-10 
S1 (config- if- range) # switchport access vlan 10 


S1 (config- if- range) #end 


S1 (config) # interface range fastEthernet 0/11- 17 
S1 (config- if- range) # switchport access vlan 20 


S1 (config- if- range)#exit 


S1 (config) # interface range fastEthernet 0/18- 24 


// 进 入 交换 机 s1 的 Fa6 一 Fal0 号 口 
// 将 交换 机 31 的 Fa6~ Eal0 号 口 配 进 VLAN10 


// 进 入 交换 机 S1 的 Fall 一 Fal7 号 口 
// 将 交换 机 s1 的 Fa6~ Fal0 号 口 配 进 VLAN20 


// 进 入 交换 机 S1 的 Fal8— Fa24 E Hl 


S1 (config- if- range)# switchport access vlan 30 


同样 对 交换 机 S2 进行 相同 的 配置 。 


// 将 交换 机 s1 的 Fa6~ Fal0 号 口 配 进 VLAN30 
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6) 检查 802. 1D 生成 树 协议 的 默认 配置 

在 每 台 交 换 机 上 ,使 用 show spanning-tree 命令 列 出 其 上 的 生成 树 表 。 交 换 机 S 
的 PVST 生成 树 协议 部 分 执行 情况 如 图 4.15 所 示 。 交 换 机 S2 的 PVST 生成 树 协 议 部 
分 执行 情况 如 图 4.16 所 示 。 交 换 机 S3 的 PVST 生成 树 协议 部 分 执行 情况 如 图 4. 17 
所 示 。 


SI$show spanning- tree 
VLANOO01 
Spanning tree enabled protocol ieee 
Root ID Priority 327693 
Address 0002.1€13.23€€ 
Cost 1s 
Port l(FastEthernet0/1) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) 
Address 0050.2B50.9CDO 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 


Spanning tree enabled protocol ieee 
Root ID Priority 32778 

Address 0002.1613.2366 

Cost 19 

Port l(FastEthernet0/1) 

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32778 (priority 32768 sys-id-ext 10) 
Address 0090.2B50.9CDO 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Interface Prio.Nbr Type 


图 4.15 交换 机 SI ff) PVST 生成 树 协 议 部 分 执行 情况 
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VLAN0020 


Root ID 


Bridge ID 


Interface 


Fa0/11 


|VLANO030 


Root ID 


Bridge ID 


Interface 


Fa0/18 


Spanning tree enabled protocol ieee 


Role Sts Cost Prio.Nbr Type 
Desg FWD 19 128.4 — P2p 
Altn BLK 19 128.2 P2p 
Root FWD 19 128.1  P2p 
Desg FWD 19 128.3  P2p 
Desg FWD 19 128.11  P2p 


Spanning tree enabled protocol ieee 


Priority 32788 


Address 0002.1€13.23€€ 
Cost 19 
Port l(FastEthernet0/1) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Priority 32738 (priority 32768 sys-id-ext 20) 
Address 0090.2B50.5CDO 

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Priority 32798 


Address 0002.1€13.23€€ 
Cost 19 
Port l(FastEthernet0/1) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Priority 32798 (priority 32768 sys-id-ext 30) 
Address 0050.2B50.9CDO 

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Role Sts Cost Prio.Nbr Type 


52 8 show spanning-tree 


|VLANO010 


Spanning tree enabled protocol ieee 


Root ID 


Priority 32778 
Address 0002.1€13.23€€ 

This bridge is the root 

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


图 4.16 交换 机 S2 的 PVST 生成 树 协议 部 分 执行 情况 
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Bridge ID 


Interface 


Priority 32778 (priority 32768 sys-id-ext 10) 
Address 0002.16€613.23€€ 

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Role Sts Cost Prio.Nbr Type 
Desg 19 128.1 P2p 
Desg 1s 128.2  P2p 
Desg 1s 128.3  P2p 
Desg 19 128.4 P2p 
Desg 19 128.€ P2p 


Spanning tree enabled protocol ieee 


Root ID 


Bridge ID 


Interface 


Priority 32788 

Address 0002.1613.2366 

This bridge is the root 

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Priority 32788 (priority 32768 sys-id-ext 20) 
Address 0002.1613.236€ 

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Role Cost Prio.Nbr Type 
1s 128.1 P2p 
1s 128.2 P2p 
19 128.3 P2p 
19 128.4 P2p 
19 128.11 P2p 


Spanning tree enabled protocol ieee 


Root ID 


Bridge ID 


Priority 32798 

Address 0002.1€13.23€€ 

This bridge is the root 

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Priority 32798 (priority 32768 sys-id-ext 30) 
Address 0002.1€13.23€€ 

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Role Sts Cost Prio.Nbr Type 


图 4.16 (RD 
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s3$show spanning-tree 
IVLANO001 
Spanning tree enabled protocol ieee 
Root ID Priority 32769 


Address 0002.1613.2366 
Cost 19 
Port l(FastEthernet0/1) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) 
Address 00E0.F703.3€7C 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Bole Sts Cost Prio.Nbr Type 
Fao73 Altn BLK 15 128.3  P2p 

Fa0/4 Altn BLK 19 128.4  P2p 

[Fa0/1 Root FWD 19 128.1  P2p 

Fa0/2 Altn BLK 15 128.2  P2p 

VLANO010 


Spanning tree enabled protocol ieee 
Root ID Priority 32778 


Address 0002.1€13.23€€ 
Cost 19 
Port l(FastEthernet0/1) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32778 (priority 32768 sys-id-ext 10) 
Address O0E0.F703.3€7C 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 


VLAN0020 
Spanning tree enabled protocol ieee 
Root ID Priority 32788 


Address 0002.1€13.23€€ 
Cost 29 
Port l(FastEthernet0/1) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32788 (priority 327€8 sys-id-ext 20) 
Address 00E0.F703.3€7C 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 


Fa0/3 Altn BLK 19 128.3 P2p 
Fa0/4 Altn BLK 15 128.4 P2p 
Fa0/1l Root FWD 19 128.1 P2p 
Fa0/2 Altn BLK 19 128.2 P2p 


图 4.17 交换 机 S3 的 PVST 生成 树 协议 部 分 执行 情况 
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|VLANO030 
Spanning tree enabled protocol ieee 
Root ID Priority 32798 
Address 0002.1613.2366 
Cost 19 
Port 1(FastEthernet0/1) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32798 (priority 32768 sys-id-ext 30) 
Address 00E0.F703.3€7C 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 
Fa0/3 Altn BLK 19 128.3 P2p 
Fa0/4 Altn BLK 19 128.4 P2p 
Fa0/1 Root FWD 19 128.1 P2p 


Fa0/2 Altn BLK 19 128.2 P2p 


图 4.17 (RD 


7) 生成 树 协议 工作 过 程 分 析 

CD 根 桥 的 选择 。 

根 桥 (RB) 的 选择 只 比较 桥 ID(BID) ,BID 最 小 的 就 是 根 交 换 机 。BID 的 大 小 是 由 桥 优 
先 级 决定 的 ,因此 桥 优 先 级 小 的 即 为 根 桥 ,在 优先 级 相同 的 情况 下 比较 其 MAC 地 址 ,MAC 
地 址 小 的 即 为 根 桥 。 一 般 来 说 , 桥 优先 级 都 一 样 ,基本 均 为 32 768, 所 以 一 般 只 比较 桥 的 
MAC 地 址 。PVST 为 每 个 虚拟 局 域 网 运行 单独 的 生成 树 实例 。 

从 图 4.15 可 以 看 出 ,交换 机 ST 的 VLANI 的 BID 为 32768 十 1 王 32769 ,交换 机 S1 的 
VLANIO 的 BID 为 32768 十 10 王 32778, 交 换 机 S1 的 VLAN30 的 BID 为 32768 十 30 — 
32798。 从 图 4. 16 可 以 看 出 ,交换 机 S2 的 VLANI 的 BID 为 327684-1— 32769 ,交换 机 S2 
的 VLANIO 的 BID 为 32768 十 10 王 32778 ,交换 机 S2 的 VLAN30 的 BID 为 32768--30— 
32798。 从 图 4.17 可 以 看 出 ,交换 机 S3 的 VLANI 的 BID Jg 32768 3-1 — 32769, 4c HMHL 
S3 的 VLAN10 的 BID Jy 32768 + 10 — 32778. 3 H BL S3 的 VLAN30 的 BID 为 32768 十 
30—32798, 

结果 表明 ,3 台 交 换 机 相同 VLAN 的 桥 TD 号 是 相同 的 , 即 桥 TD 的 优先 级 是 相同 的 , 因 
此 根 桥 的 选择 需要 依靠 3 台 交 换 机 的 MAC 地 址 。 通 过 在 交换 机 上 执行 命令 “show 
interfaces vlan 1” 可 以 查看 交换 机 S1 的 MAC 地 址 为 0090. 2b50. 9cd0 ,交换 机 S2 的 MAC 
地 址 为 0002. 1613. 2366 ,交换 机 S3 的 MAC 地 址 为 00e0. f703. 367c。 由 于 交换 机 S2 的 
MAC 地 址 最 小 ,因此 3 台 交 换 机 的 VLANI, VLANIO, VLAN20 以 及 VLAN30 的 根 桥 均 
为 交换 机 S2。 分 析 结 果 与 实际 通过 命令 查看 的 结果 相同 。 

(2) 根 端口 (RP) 的 选择 。 

对 于 每 台 非 根 桥 ,需要 选择 一 个 端口 连接 到 根 桥 , 即 根 端口 的 选择 。 当 非 根 桥 有 多 个 端 
口 连接 到 根 桥 时 ,选择 性 能 好 的 端口 作为 根 端 口 ,首先 比较 开销 Q, 其 次 比较 BID, 最 后 比较 
PID( 端 口 ID) ,在 开销 相同 ,BID 相同 的 情况 下 ,比较 PID,PID= 端 口 优先 级 十 端口 号 ,一 般 
端口 优先 级 是 默认 的 ,所 以 端口 号 小 的 端口 将 成 为 根 端口 。 如 图 4. 14 所 示 ,S2 为 根 交 换 
机 ,交换 机 S1 和 交换 机 S3 分 别 选 择 一 个 根 端口 连接 到 根 桥 交 换 机 S2。 

首先 ,交换 机 S3 到 根 桥 可 以 直接 到 达 , 即 S3 一 S2, 或 者 经 过 SI 到 达 S2, 即 S3 一 S1 一 
S2 ,根据 开销 的 规则 : 带宽 10Mb/s 端口 开销 为 100, 带 宽 100Mb/s 端口 开销 为 19, 带 宽 
1000Mb/s 端口 开销 为 4, 可 以 得 出 ,前 者 S3 一 S2 的 开销 为 19, 后 者 S3 一 S1 一 S2 的 开销 为 
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19 十 19 二 38, 因 此 根 端口 在 S3 直接 连接 到 S2 的 链 路 中 选择 ,由 于 S3 到 S2 有 两 条 链 路 直接 
到 达 , 即 Fa0/1 号 口 和 Fa0/2 号 口 。 由 于 这 两 条 链 路 到 达 S2 的 开销 相同 , 均 为 19, 另 外 两 
条 链 路 所 在 交换 机 的 BID 相同 ,因此 根 端口 的 选择 依据 为 比较 端口 的 PID,PID 王 端口 优先 
级 十 端口 号 ,端口 优先 级 是 默认 的 ,一般 为 128 ,所 以 端口 号 小 的 端口 将 成 为 根 端口 。 因 此 ， 
交换 机 S3 的 Fa0/1 成 为 交换 机 S3 连接 根 交换 机 S2 的 根 端口 。 同 样 分 析 得 出 ,交换 机 S1 
到 根 交 换 机 S2 的 根 端 口 为 Fa0/1。 

(3) 指定 端口 (DP) 的 选择 。 

从 交换 机 之 间 的 每 一 条 链 路 上 均 选 择 一 个 端口 作为 指定 端口 。 根 桥 的 端口 为 指定 端 
口 ,原因 是 根 桥 的 端口 到 根 桥 的 开销 一 定 是 最 小 的 ,其 余 交 换 机 之 间 的 端口 首先 比较 到 根 桥 
的 开销 ,开销 小 的 为 指定 端口 ,开销 相同 的 比较 交换 机 的 BID. BID 小 的 交换 机 的 端口 为 指 
定 端口 。BID 由 优先 级 和 MAC 地 址 决定 。 如 图 4. 14 所 示 ,首先 根 桥 的 端口 为 指定 端口 ， 
因此 根 桥 与 交换 机 S1 以 及 交换 机 S3 每 一 条 链 路 上 均 有 一 个 端口 为 指定 端口 。 现 在 需要 确 
定 交换 机 S1 和 交换 机 S3 之 间 的 链 路 上 的 指定 端口 情况 。 

从 交换 机 S1 和 交换 机 S3 之 间 的 链 路 确定 指定 端口 。 端 口 到 根 桥 的 开销 相同 , 均 为 
19 ,接着 比较 BID, 由 于 两 台 交换 机 优先 级 相同 ,因此 比较 MAC 地 址 ,Sl 的 MAC 地 址 为 
0090, 2b50. 9cd0 ,交换 机 S3 的 MAC 地 址 为 00e0. f703. 367c。 由 于 S1 的 MAC 地 址 小 , 因 
此 S1 的 端口 Fa0/3 以 及 Fa0/4 为 指定 端口 。 

(4) RP,DP 设置 为 转发 状态 ,其 他 端口 设置 为 阻塞 状态 。 

交换 机 S3 的 Fa0/3 和 Fa0/4 以 及 交换 S1 的 Fa0/2 号 端口 处 于 阻塞 状态 ,所 有 VLAN 
的 信息 均 是 通过 交换 机 S1 的 Fa0/1 号 口 和 交换 机 S2 的 Fa0/3 号 口 进行 通信 的 ,如 图 4. 14 
所 示 。 

尽管 可 以 防止 环 路 ,但 也 造成 了 资源 浪费 。 由 于 PVST 根 桥 基于 VLAN 定义 ,使 不 同 
VLAN 的 好 辑 拓扑 不 一 样 。 通 过 链 路 实现 负载 平衡 可 以 使 某 些 端口 对 一 个 VLAN 5H 3E 
状态 ,对 男 一 个 VLAN 则 可 以 转发 流量 ,最 终 实现 网 络 负载 均衡 。 

8) 修改 生成 树 配 置 , 使 中 继 线路 分 担 流 量 

假设 3 个 用 户 VLAN(CO,20 和 30) 承 载 等 量 的 流量 。 使 3 个 用 户 VLAN 中 的 每 一 个 
都 使 用 不 同 的 一 组 端口 进行 转发 。S1 成 为 VLAN10 的 根 桥 (优先 级 40960 , VLAN20 的 备 
用 根 桥 ( 优 先 级 163840 ;S2 成 为 VLAN20 的 根 桥 (优先 级 4096), VLAN30 的 备用 根 桥 ( 优 
先 级 16384); S3 成 为 VLAN30 的 根 桥 ( 优 先 级 40960, VLANIO 的 备用 根 桥 (优先 级 
16384) ;具体 实现 如 下 。 


Sl(config)fspanning-tree vlan 10 priority 4096 ”将 S1 的 VLAN10 优 先 级 设置 为 4096 
Sl(config)f spanning-tree vlan 20 priority 16384 ”将 S1 的 VLAN20 优 先 级 设置 为 16384 
S2 (config)#spanning-tree vlan 20 priority 4096 将 s2 的 VLAN20 优 先 级 设置 为 4096 
S2 (config)# spanning-tree vlan 30 priority 16384 ”将 s2 的 VLAN30 优 先 级 设置 为 16384 
S3 (config)# spanning-tree vlan 30 priority 4096 ”将 Ss3 的 VLAN30 优 先 级 设置 为 4096 
S3(config)f spanning-tree vlan 10 priority 16384 ”将 S3 的 VLAN10 优 先 级 设置 为 16384 


通过 以 上 设置 ,3 台 交 换 机 的 所 有 端点 均 处 于 开启 状态 。 通 过 在 PCI 和 PC4、PC2 和 
PC5 以 及 PC3 和 PC6 之 间 进 行 ping 操作 ,并 采用 packet tracer 软件 的 数据 包 跟 踪 过 程 ,可 
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以 看 出 VLAN30 的 数据 包 流 动 过 程 为 SI 一 S3 一 S2;VLAN10 和 VLAN20 的 数据 包 流动 过 
程 为 SI 一 S2 ,在 S1 和 S2 这 两 台 交 换 机 上 ,使 用 show spanning-tree 命令 列 出 其 上 的 生成 
树 表 。 其 中 ,交换 机 S1 的 生成 树 列表 部 分 如 图 4. 18 所 示 。 


|VLANO010 
Spanning tree enabled protocol ieee 
Root ID Priority 410€ 
Address 0090.2B50.9CDO 
This bridge is the root 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Bridge ID Priority 410€ (priority 409€ sys-id-ext 10) 
Address 0090.2B50.9CDO 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 
Interface Role Sts Cost Prio.Nbr Type 
Fa0/4 Desg FWD 19 128.4  P2p 
Fa0/€ Desg FWD 19 128.6 — P2p 
Fa0/2 Desg FWD 19 128.2 P2p 
Fa0/1 Desg FWD 19 128.1  P2p 
Fa0/3 Desg FWD 19 128.3  P2p 
|VLAN0020 


Spanning tree enabled protocol ieee 
Root ID Priority 4116 


Address 0002.1€13.23€€ 
Cost is 
Port l(FastEthernet0/1) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 16404 (priority 16384 sys-id-ext 20) 
Address 0050.2B50.5CD0O 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 


Fa0/11 Desg FWD 19 128.11 P2p 


|VLANO030 
Spanning tree enabled protocol ieee 
Root ID Priority 4126 


Address 00E0.F703.3€7C 
Cost 1s 
Port 3(FastEthernet0/3) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32798 (priority 32768 sys-id-ext 30) 
Address 0050.2B50.9CDO 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 


Fa0/4 Altn BLK 19 128.4 P2p 
Fa0/2 Altn BLK 19 128.2 P2p 
[Fa0/1 Altn BLK 19 128.1 P2p 
Fa0/3 Root FWD 19 128.3 P2p 
Fa0/18 Desg FWD 19 128.18 P2p 


4.18 交换 机 S1 的 生成 树 列表 部 分 
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交换 机 S2 的 生成 树 列表 部 分 如 图 4. 19 所 示 。 


|VLANO010 
Spanning tree enabled protocol ieee 
Root ID Priority 410€ 


Address 0090.2B50.9CDO 
Cost 1s 
Port 3(FastEthernet0/3) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32778 (priority 32768 sys-id-ext 10) 
Address 0002.1€13.23€€ 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 


Spanning tree enabled protocol ieee 
Root ID Priority 4116 

Address 0002.1613.2366 

This bridge is the root 

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 4116 (priority 409€ sys-id-ext 20) 
Address 0002.1€13.23€€ 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Interface Prio.Nbr Type 
P2p 
P2p 
P2p 
P2p 
P2p 


Spanning tree enabled protocol ieee 
Root ID Priority 4126 

Address 00E0.F703.3€7C 

Cost 1s 

Port l(FastEthernet0/1) 

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 16414 (priority 16384 sys-id-ext 30) 
Address 0002.1613.23€€ 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Prio.Nbr Type 
FWD 
BLK 
FWD 
FWD 
FWD 


图 4.19 交换 机 S2 的 生成 树 列表 部 分 


交换 机 S3 的 生成 树 列表 部 分 如 图 4. 20 所 示 。 
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0010 
Spanning tree enabled protocol ieee 
Root ID Priority 410€ 


Address 0050.2B50.9CDO 
Cost 19 
Port 3 (FastEthernet0/3) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 16394 (priority 16384 sys-id-ext 10) 
Address 00E0.F703.3€7C 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 


Spanning tree enabled protocol ieee 
Root ID Priority 411€ 


Address 0002.1613.2366 
Cost 19 
Port l(FastEthernet0/1) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32788 (priority 32768 sys-id-ext 20) 
Address 00E0.F703.3€7C 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 


Spanning tree enabled protocol ieee 
Root ID Priority 412€ 
Address 00E0.F703.3€7C 
This bridge is the root 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 4126 (priority 4096 sys-id-ext 30) 
Address 00E0.F703.3€7C 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 20 


Interface Role Sts Cost Prio.Nbr Type 


图 4.20 交换 机 S3 的 生成 树 列表 部 分 
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从 S1 以 及 S2 的 生成 树 列表 可 以 看 出 ,交换 机 SI 的 Fao/1 口 可 以 通过 VLAN10 和 
VLAN20 的 包 , 不 能 通过 VLAN30 的 包 ,Fa0/2 能 通过 VLANIO 的 包 , 不 能 通过 VLAN20、 
VLAN30 的 包 , 交 换 机 S2 的 Fa0/3 可 以 通过 VLAN10、VLAN20 以 及 VLAN30 的 包 ， 
Fa0/4 能 通过 VLAN20 和 VLAN30 的 包 , 不 能 通过 VLANIO 的 包 , 见 表 4.7。VLAN30 的 
包 通 过 交换 机 S1 的 Fo/3 到 交换 机 S3 的 F0/3, 从 交换 机 S3 的 Fo/1 到 交换 机 S2 的 F0/1。 
VLANIO ftl VLAN20 的 包 均 通过 S1 的 Fa0/1 口 和 S2 的 Fa0/3 口 进行 通信 ,并 不 能 实现 
负载 均衡 。 

表 4.7 交换 机 端口 通过 VLAN 情况 


设备 名 称 端口 可 通过 的 VLAN 

F0/1 VLANIO, VLAN20 
F0/2 VLANIO 

à Fo/3 VLANIO, VLAN20, VLAN30 
F0/4 VLANIO, VLAN20 
F0/1 VLAN20, VLAN30 
F0/2 VLAN20 

S2 
F0/3 VLANIO, VLAN20, VLAN30 
F0/4 VLAN20. VLAN30 
F0/1 VLANIO, VLAN20, VLAN30 
F0/2 VLANIO, VLAN30 

i F0/3 VLAN10, VLAN30 
F0/4 VLANS30 


9) 通过 调节 端口 的 开销 实现 S1 和 S2 间 的 VLAN10 与 VLAN20 的 负载 均衡 

通过 以 上 设置 可 以 看 出 Sl 为 VLAN10 的 根 交 换 机 ,S2 为 VLAN20 的 根 交换 机 。 将 
S1 的 端口 Fa0/2 的 优先 级 提高 ,使 得 在 VLAN20 里 将 Fa0/1 作为 阻塞 端口 ,Fa0/2 处 于 活 
动 端口 。 具 体操 作 如 下 。 


Sl (config)# interface fastEthernet 0/2 // 进 入 交换 机 S1 的 Fao/2 号 口 
S1 (config- if)# spanning- tree vlan 20 cost 18 
// 默 认 cost 值 为 19, 现 在 设置 为 18, 降 低 端口 开销 

说 明 : 该 命令 在 packet tracer 仿真 环境 下 不 能 执行 ,在 EVE-NG 仿真 环境 下 可 以 
执行 。 
2. 在 EVE-NG 仿真 环境 下 进一步 探讨 利用 PVST 实现 网 络 负载 均衡 
为 了 进一步 探讨 生成 树 协议 ,在 EVE-NG 仿真 环境 下 设计 如 图 4. 21 所 示 的 网 络 拓扑 
图 ,图 中 3 台 交换 机 S1、S2 以 及 S3 两 两 相连 ,其 中 交换 机 S1 和 交换 机 S2 连接 终端 计算 机 。 
生成 树 协议 工作 过 程 中 ,首先 选择 根 桥 交 换 机 ,默认 情况 下 3 台 交 换 机 的 优先 级 priority 值 
是 相同 的 ,通过 比较 它们 的 MAC 地 址 决定 根 桥 交 换 机 ,由 于 S3 交换 机 的 MAC 地 址 最 小 ， 
因此 交换 机 S3 为 根 桥 ; 在 非 根 桥 交换 机 ST 和 S2 中 各 选择 一 个 根 端口 , 根 端口 的 选择 首先 
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比较 端口 到 根 桥 的 开销 ( 即 cost 值 ) ,交换 机 S2 的 端口 G0/0 以 及 G0/1 到 根 桥 的 开销 相 
同 ,在 cost 值 相同 的 情况 下 ,比较 BID, 在 BID 相同 的 情况 下 比较 PID,PID 由 端口 优先 级 及 
端口 编号 组 成 ,默认 情况 下 端口 优先 级 相同 ,由 于 G0/0 端口 编号 小 ,因此 交换 机 S2 的 根 端 
口 为 G0/0, 同 样 交换 机 ST 的 根 端口 为 G0/2; 接 下 来 指定 端口 的 选择 ,首先 根 桥 交 换 机 端口 
为 指定 端口 ,接着 在 交换 机 ST 和 S2 相连 的 端口 中 确定 指定 端口 ,由 于 交换 机 SI 和 S2 到 根 
桥 的 开销 相同 ,开销 相同 时 比较 交换 机 的 BID. BID 小 的 交换 机 的 端口 为 指定 端口 ,BID 由 
优先 级 和 MAC 地 址 决定 。 在 优先 级 相同 的 情况 下 ,比较 MAC 地 址 ,由 于 ST 的 MAC 地 址 
小 ,因此 交换 机 S1 的 端口 G0/0 和 G0/1 为 指定 端口 。 


/ em EVE | Topology. xWA m 
€ > C |O 101054225/e920/ 


图 4.21 EVE-NG 仿真 下 的 生成 树 协议 


最 终 阻 断 的 端口 为 交换 机 S2 的 G0/1、G0/2 以 及 G0/3 和 交换 机 S1 的 端口 GO/3。 在 
交换 机 中 通过 命令 “show spanning-tree” 查 看 结果 相同 。 

接 下 来 在 3 台 交 换 机 中 分 别 创建 VLAN10、VLAN20 以 及 VLAN30, 同 时 将 交换 机 之 
间 的 级 联 端口 配置 成 Trunk 模式 。 为 了 实现 网 络 负载 均衡 ,通过 下 列 命 令 将 3 台 交 换 机 分 
别 配置 成 VLAN10、VLAN20 以 及 VLAN30 的 根 桥 。 


S1 (config)# spanning- tree vlan 10 priority 4096 将 sif VLAN10 优 先 级 设置 为 4096 
S1 (config)# spanning-tree vlan 20 priority 16384 ”将 sif] VLAN20 优 先 级 设置 为 16384 
S2 (config)# spanning- tree vlan 20 priority 4096 将 s2 的 vLAN20 优先 级 设置 为 4096 
S2 (config)# spanning-tree vlan 30 priority 16384 ”将 s2 的 VLAN30 优先 级 设置 为 16384 
S3 (config)# spanning- tree vlan 30 priority 4096 将 s3 的 VLAN30 优 先 级 设置 为 4096 
S3(config)#spanning-tree vlan 10 priority 16384 ”将 S3 的 VLAN10 优 先 级 设置 为 16384 


接 下 来 分 析 VLAN10、VLAN20 以 及 VLAN30 生成 树 情况 。 

首先 分 析 VLANIO 生成 树 情况 ,其 中 交换 机 Sl 为 VLAN10 根 桥 交换 机 ,交换 机 S2 和 
交换 机 S3 分 别 寻 找 连接 根 桥 交换 机 ST 的 根 端口 , 根 端口 的 选择 首先 比较 开销 ,在 开销 相同 
的 情况 下 ,比较 BID, E BID 相同 的 情况 下 比较 PID ,在 端口 优先 级 相同 的 情况 下 比较 端口 
的 编号 ,由 于 开销 相同 ,比较 BID, BID 相同 ,比较 PID, 由 于 端口 优先 级 相同 ,因此 比较 端口 
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编号 ,由 于 G0/2 编号 小 于 G0/3, 因 此 交换 机 S2 的 端口 G0/2 为 根 端口 ,同样 交换 机 S3 的 
端口 G0/2 为 根 端口 , 接 下 来 选择 指定 端口 ,首先 根 桥 交 换 机 端口 为 指定 端口 ,因为 这 些 端 
口 到 根 桥 的 开销 最 小 ,从 交换 机 S2 端口 Gi0/0 和 Gi0/1 与 交换 机 S3 端口 Gi0/0 和 Gi0/1 


之 间 选 择 指定 端口 ,由 于 这 
换 机 S3 的 VLAN10 的 优先 级 (priority) 为 


j 台 交换 机 到 根 桥 的 开销 相同 ,因此 比较 它们 的 BID 值 ,由 于 交 


16384, 小 于 交换 机 S2 的 优先 级 ,因此 交换 机 S3 


的 端口 G0/0 以 及 G0/1 为 指定 端口 ,其 他 端口 均 为 阻 断 端 口 ,如 图 4. 22 所 示 为 VLANIO 
生成 树 情况 。 结 果 表 明 ,VLAN10 流量 从 交换 机 S1 的 G0/0 到 交换 机 S2 的 G0/2。 图 4. 23 
为 交换 机 SI 的 VLANIO 生成 树 情况 。 图 4. 24 为 交换 机 S2 的 VLANIO 生成 树 情况 。 
图 4. 25 为 交换 机 S3 的 VLAN10 生成 树 情况 。 


MAC: 5000.0003.8001 


图 4.22 VLAN10 生成 树 情况 


@ sı 


Fle Edit View Options Transfer Script Tools Window Help 


E 多 o Enter host <At+R> 


i*2naieiseevi?ls 


vs|pvs vs 


VLANOO10 


Spanning tree enabled protocol rstp 
Root ID Priority 4106 
ress 5000. 0002. 0000 
This bridge is the root 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Bridge ID priorit 4106 (priority 4096 sys-id-ext 10) 
s prd 5000. 0002. 0000. 3 n 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 
Interface Role sts Cost Prio.Nbr Type 
Gio/0 Desg FWD 4 128.1 shr 
Gio/1 Desg FWD 4 128.2 shr 
Gi0/2 Desg FWD 4 128.3 shr 
Gi0/3 Desg FwD 4 128.4 Shr 


图 4.23 交换 机 SI 的 VLANIO 生成 树 情况 


其 次 分 析 VLAN20 生成 树 情况 ,其 中 交换 机 S2 为 根 桥 交 换 机 ,交换 机 S1 和 交换 机 S3 
分 别 寻 找 连接 根 桥 交 换 机 S2 的 根 端口 , 根 端口 的 选择 首先 比较 开销 ,在 开销 相同 的 情况 下 ， 
比较 BID. f£ BID 相同 的 情况 下 ,比较 PID, 在 端口 优先 级 相同 的 情况 下 ,比较 端口 的 编号 ， 
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ms - 
File Edit View Options Transfer Script Tools Window Help 

E F o Emterhost<Akt+R> |mr,jemeT|?|5 
vsi|vs2 pvss 


k S bled 1 
Spanning tree enal otocol rst] 
Dot ID. Priority Poe ? 
Address 5000. 0002. 0000 
Cost 4 
Port 3 (cigabitEthernet0/2) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32778 (priority 32768 sys-id-ext 10) 
Address 5000. 0003. 0000 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 


Interface Role sts Cost Prio.Nbr Type 
Gio/0 Altn BLK 4 128.1 shr 
Gi0/1 Altn BLK 4 128.2 Shr 
Gi0/2 Root FWD 4 128.3 shr 
Gi0/3 Altn BLK 4 128.4 Shr 


图 4.24 交换 机 S2 的 VLAN10 生成 树 情况 


File Edit View Options Transfer Script Tools Window Help 
X FUCO Enterhost<At+R> [mra gm me? 
vsivsivesn 


'VLANOO10 
Spanning tree enabled protocol rstp 
Root ID Priority 4106 
Address 5000. 0002. 0000 


Cost 4 
Port 3 (Gigabitethernet0/2) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 16394 Si 16384 sys-id-ext 10) 
Address 5000. 0001. 0000 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 


Interface Role Sts Cost Prio.Nbr Type 


Gi0/3 Altn BLK 4 128.4 shr 


图 4.25 交换 机 S3 的 VLANIO 生成 树 情况 


由 于 开销 相同 ,BID 相同 ,在 端口 优先 级 相同 的 情况 下 比较 端口 的 编号 ,由 于 交换 机 SI 的 
端口 G0/0 编号 小 于 端口 GO/1 ,因此 交换 机 ST 端口 G0/0 为 根 端口 ,同样 交换 机 S3 端口 
G0/0 为 根 端 口 , 接 下 来 选择 指定 端口 ,首先 根 桥 交 换 机 端口 为 指定 端口 ,因为 这 些 端口 到 根 
桥 的 开销 最 小 ,从 交换 机 ST 和 交换 机 S3 之 间 连 接 的 端口 中 选择 指定 端口 ,由 于 它们 到 根 桥 
的 开销 相同 ,因此 比较 它们 的 BID 值 ,由 于 交换 机 S1 的 VLAN20 的 优先 级 (priority ) 为 
16384 ,小 于 交换 机 S3 的 优先 级 ,因此 交换 机 S1 的 端口 G0/2 以 及 G0/3 为 指定 端口 ,其 他 
端口 均 为 阻 断 端口 ,如 图 4. 26 所 示 为 VLAN20 生成 树 情 况 。 结 果 表 明 ,VLAN20 流量 从 
交换 机 SI 的 G0/0 到 交换 机 S2 的 G0/2。 图 4. 27 为 交换 机 SI 的 VLAN20 生成 树 情况 。 
图 4. 28 为 交换 机 S2 的 VLAN20 生成 树 情况 。 图 4. 29 为 交换 机 S3 的 VLAN20 生成 树 
情况 。 
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| em EVE | Topology x 


€ > Q [O 10.10.64.225/legacy/# 


VLAN20 根 桥 
MAC: 5000.0001.8001 MAC: 5000.0003.8001 


图 4.26 VLAN20 生成 树 情况 


[i ES] - 


vsi g Os Os 


VLAN0020 
Spanning tree enabled protocol rstp 
Root ID Priority 4116 


Address 5000. 0003. 0000 
Cost 4 
Port 1_(Gigabitethernet0/0) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 16404 (priority 16384 sys-id-ext 20) 
Address 5000. 0002. 0000 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 


Interface Role Sts Cost Prio.Nbr Type 


Gi0/3 Desg FwD 4 128.4 shr 


图 4.27 交换 机 S1 的 VLAN20 生成 树 情况 
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S2 一 
File Edit View Options Transfer Script Tools Window Help 

E F C Enterhost<atrR> — [raj zmaT!?lt 

vs vs Bos 


VLAN0020 
Spanning tree enabled protocol rstp 
Root ID Priority 4116 
Address 5000. 0003. 0000 
This bridge is the root 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 4116 pri 4096 sys-id-ext 20) 
Address 5000. 0003. 0000 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 


Interface Role Sts Cost Prio.Nbr Type 


图 4.28 交换 机 S2 的 VLAN20 生成 树 情况 


[CES E 
File Edit View Options Transfer Script Tools Window Help 

E F 局 op Enterhost<At+R> | Q 0A) SEST]? a 

Ysl vs Ys 目 


VLAN0020 
Spanning tree enabled protocol rstp 
Root ID Priority 4116 
Address 5000. 0003. 0000 


Cost 4 
Port 1_(Gigabitethernet0/0) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32788 (priority 32768 sys-id-ext 20) 
Address 5000. 0001. 0000 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 


Interface Role Sts Cost Prio.Nbr Type 
Gi0/0 Root FwD 4 128.1 shr 
Gi0/1 Altn BLK 4 128.2 Shr 
Gi0/2 Altn BLK 4 128.3 shr 
Gi0/3 Altn BLK 4 128.4 Shr 


图 4.29 交换 机 S3 的 VLAN20 生成 树 情况 


最 后 分 析 VLAN30 生成 树 情况 ,其 中 交换 机 S3 为 根 桥 交 换 机 ,交换 机 S1 和 交换 机 S2 
分 别 寻 找 连 接 根 桥 交 换 机 S3 的 根 端口 , 根 端口 的 选择 首先 比较 开销 ,在 开销 相同 的 情况 下 ， 
比较 BID, 在 BID 相同 的 情况 下 ,比较 PID, 在 端口 开销 相同 的 情况 下 ,比较 端口 的 编号 ,由 
于 交换 机 S1 的 两 个 端口 到 根 桥 交换 机 S3 的 开销 相同 ,BID 也 相同 ,此 时 比较 PID, 由 于 端 
口 的 优先 级 也 相同 ,交换 机 S1 的 端口 G0/2 编号 小 于 端口 G0/3, 因 此 交换 机 ST 的 端口 
G0/2 为 根 端口 ,同样 交换 机 S2 的 端口 G0/0 为 根 端口 , 接 下 来 选择 指定 端口 ,首先 根 桥 交 
换 机 端口 为 指定 端口 ,因为 这 些 端口 到 根 桥 的 开销 最 小 ,从 交换 机 ST 和 交换 机 S2 之 间 
连接 的 端口 中 选择 指定 端口 ,由 于 它们 到 根 桥 的 开销 相同 ,因此 比较 它们 的 BID 值 ,由 于 
交换 机 S2 的 VLAN30 的 优先 级 (priority) 为 16384, 小 于 交换 机 S1 的 优先 级 ,因此 交换 
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机 S2 的 端口 G0/2 以 及 G0/3 为 指定 端口 ,其 他 端口 均 为 阻 断 端口 ,如 图 4. 30 所 示 为 
VLAN30 生成 树 情况 。 结 果 表 明 ,VLAN30 流量 从 交换 机 S1 的 G0/2 到 交换 机 S3 的 
G0/2, 再 从 S3 的 G0/0 到 S2 的 G0/0。 图 4. 31 为 交换 机 S1 的 VLAN30 生成 树 情况 。 
图 4. 32 为 交换 机 S2 的 VLAN30 生成 树 情 况 。 图 4. 33 为 交换 机 S3 的 VLAN30 生成 树 
情况 。 


1/ em EVE | Topology x \" 


MN 


和 > [© 10.10.64.225/1egacy/# 


VLAN30 根 桥 
MAC: 5000.0001.8001 MAC: 5000.0003.8001 


图 4.30 VLAN30 生成 树 情况 


sl - 
Hie Ga Vw ON Cihder Suipi Took Wéxow Heb 
E F Di Enterhost <ARt+R> |NO B HaT)? a 


wS1 回 AS vss 


VLANOO30 
Spanning tree enabled protocol rstp 
Root ID Priority 4126 
Address 5000. 0001. 0000 
Cost 4 
Port 3 (GigabitEthernet0/2) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32798 (priority 32768 sys-id-ext 30) 
Address 5000. 0002. 0000 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 


Interface Role sts Cost Prio.Nbr Type 
Gi0/0 Altn BLK 4 128.1 Shr 
Gi0/1 Altn BLK 4 128.2 shr 
Gi0/2 Root FWD 4 128.3 shr 
Gi0/3 Altn BLK 4 128.4 Shr 


图 4.31 交换 机 Sl 的 VLANSO 生成 树 情况 
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通过 调节 端口 的 优先 级 实现 S1 和 S2 间 的 VLAN10 与 VLAN20 的 负载 均衡 。 

VLANIO 的 流量 以 及 VLAN20 的 流量 均 从 交换 机 S1 的 gigabitethernet0/0 到 交换 机 
S2 的 gigabitethernet0/2, 为 了 达到 负载 均衡 .将 S1 的 端口 gigabitethernet0/1 的 优先 级 提 
高 ,成 为 VLAN20 的 根 端口 ,使 得 在 VLAN20 里 将 gigabitethernet0/0 作为 阻塞 端口 ， 


车 sz 一 
File Edit View Options Transfer Script Tools Window Help 


E F Dia? Enterhost<atrR> |0 rij HEST)? D 
wsilvs2 gys 


VLAN0030 
Spanning tree enabled protocol rstp 
Root ID Priority 126 
Address 5000. 0001. 0000 
Cost 4 
Port 1 (GigabitEthernet0/0) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 16414 (priority 16384 sys-id-ext 30) 
Address 5000. 0003. 0000 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 


interface Role Sts Cost Prio.Nbr Type 
Gi0/0 Root FWD 4 128.1 Shr 
Gi0/1 Altn BLK 4 128.2 shr 
Gi0/2 Desg FWD 4 128.3 shr 
Gi0/3 Desg FWD 4 128.4 shr 


图 4.32 交换 机 S2 的 VLAN30 生成 树 情况 


ws - 
File Edit View Options Transfer Script Tools Window Help 


X £D Enerhos<Attg> [QOU G waT? A 


vs vs2vsn 


VLAN0030 
Spanning tree enabled protocol rstp 
Root ID Priority 4126 
Address 5000. 0001. 0000 
This bridge is the root 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 4126 (priority 4096 sys-id-ext 30) 
Address 5000. 0001. 0000 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 


Interface Role Sts Cost Prio.Nbr Type 
Gi0/0 Desg FwD 4 128.1 shr 
Gi0/1 Desg FWD 4 128.2 shr 
Gi0/2 Desg FWD 4 128.3 shr 
Gi0/3 Desg FWD 4 128.4 _ shr 


图 4.33 交换 机 S3 的 VLAN30 生成 树 情况 


gigabitethernet0/1 处 于 活动 端口 。 具 体操 作 如 图 4. 34 所 示 。 
交换 机 S1 以 及 交换 机 S2 生成 树 情况 分 别 如 图 4. 35 和 图 4. 36 所 示 。 


从 图 4. 35 和 图 4. 36 可 以 看 出 ,VLAN10 流量 从 交换 机 S1 的 G0/0 到 交换 机 S2 的 
G0/2. VLAN20 流量 从 交换 机 S1 的 G0/1 到 交换 机 S2 的 G0/3, 实 现 了 负载 均衡 。 


STP(IEEE 802. 1d 生成 树 协议 ) 技 术 原 理 中 STP 算法 的 4 个 步 又 具体 如 下 。 


步骤 一 


: 选举 根 网 桥 。 


判定 对 象 : 在 所 有 运行 STP 的 交换 机 上 选举 出 一 个 唯一 的 根 网 桥 。 
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Fle Edit View Options Transfer Script Tools Window Help 


x £C Enterhost<Attg> |Q G zai? 
vs gs vss 


XsYS-5-CONFIG I: Configured from console by console 
* IOSv is strictly limited to use for evaluation, demonstration and 10s * 
* education. IOSv is provided as-is and is not supported Cisco's # 
* Technical Advisory Center. Any use or disclosure, in whole or in part, * 
i4 of the IOSv Software or Documentation to any third party for any d 


purposes is tinges prohibited except as otherwise authorize | by 
* Cisco in writi 


Encan Palram commands, one per line. End with CNTL/Z. 
nterface gigabitethernet 0/1 
Fiispanningectee vlan 20 cost 2 


Vd 4.34 修改 端口 cost 值 


ms - 口 
File Edit View Options Transfer Script Tools Window Help 


E F Có? Enterhost<Ak+R> | E C] AA | e| dr es 7| ?| 
vs pnvs vs 


VLANOO10 


Spanning tree enabled forom rstp 
Root Priority 4106 
Address 5000. 0002. 0000 


This bridge is the root 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 4106 (priority 4096 sys-id-ext 10) 
Address 5000. 0002. 0000 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 


Interface Role sts Cost Prio.Nbr Type 


Spanning tree enabled protocol rstp 
Root ID Priority 411! 


Address 5000. 0003. 0000 
Cost 2 
Port 2 (GigabitEthernet0/1) 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 16404 (priority 16384 sys-id-ext 20) 
Address 5000. 0002. 0000 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 


Interface Role sts cost Prio.Nbr Type 


--More-- 目 


图 4.35 交换 机 Sl 生成 树 情况 
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S2 = 
File Edit View Options Transfer Script Tools Window Help 
LEA o? Enterhost <AttR> | Q OA) e| drea T| 2| 08 


wsSs1 vsz2 gys 
VLANOO10 


Spanntog tree enabled protocol rstp 
Root Priority 41 
Address po 0002. 0000 
Cost 


Port 3 (GigabitEthernet0/2) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32778 (priority 32768 sys-id-ext 10) 
Address 5000. 0003. 

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 


Interface Role Sts Cost Prio.Nbr Type 

Gi0/0 Altn BLK 4 128.1 shr 

Gi0/1 Altn BLK 4 128.2 Shr 
Root FWD 4 1 


Gi0/3 Altn BLK 4 128.4 Shr 


0 
Spanning tree enabled 人 rstp 
ID Priority E. 16 
ress 
This bridge Fri the r 
Hello Time 2 sec Wax Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 4116 (ordonity 4096 sys-id-ext 20) 
Address 5000. 0003. 0000 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 sec 


Interface Role Sts Cost Prio.Nbr Type 


图 4.36 交换 机 S2 生成 树 情况 


判定 条 件 : BPDU 数据 帧 中 网 桥 ID 值 最 小 的 交换 机 将 成 为 根 网 桥 (BPDU 数据 帧 中 的 
网 桥 ID 有 8B, 是 由 2B 的 网 桥 优先 级 和 6B 的 背 板 MAC 组 成 ,其 中 网 桥 优 先 级 的 取 值 范围 
是 0 一 65535 ,默认 值 是 32768) 

进行 网 桥 ID 比较 时 , 先 比较 网 桥 优 先 级 ,优先 级 值 小 的 为 根 网 桥 ; 当 优先 级 值 相等 时 ， 
再 比较 MAC 地 址 ,MAC 地址 小 的 为 根 网 桥 。 

步骤 二 : 选举 根 端口 。 

判定 对 象 : 在 所 有 非 根 网 桥 交 换 机 上 的 不 同 端口 之 间 选 举 出 一 个 到 根 网 桥 最 近 的 端口 
作为 根 端口 。 

判定 条 件 : 

CD 端口 到 根 网 桥 的 路 径 开 销 最 少 。 

@ 发 送 方 网 桥 ID( 网 桥 人 D== 网 桥 优先 级 十 MAC 地 址 ,网 桥 优先 级 默认 为 32768) 最 小 。 

© 发 送 方 端口 ID( 端 口 人 D= 端 口 优先 级 十 端口 编号 ,端口 DD 有 16 位, 它 是 由 8 位 端 
口 优先 级 和 8 位 端口 编号 组 成 的 ,其 中 端口 优先 级 的 取 值 范围 是 0 一 240, 默 认 值 是 128 ,可 
以 修改 ,但 必须 是 16 的 倍数 最 小 。 

步骤 三 : 选举 指定 端口 。 

判定 对 象 : 在 每 一 个 物理 网 段 的 不 同 端口 之 间 选 举 出 一 个 指定 端口 。 

判定 条 件 : 
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CD 网 桥 到 根 网 桥 的 路 径 开 销 最 少 。 

O 发 送 方 网 桥 ID( 网 桥 ID 三 网 桥 优 先 级 十 MAC 地 址 ) 最 小 。 
C 发 送 方 端口 ID( 端 口 ID 三 端口 优先 级 十 端口 编号 ) 最 小 。 
步骤 四 : 阻塞 其 他 端口 ,形成 无 环 拓 扑 。 


4.5 交换 机 端口 聚合 


4.5.1 端口 聚合 简介 


端口 聚合 也 称 以 太 通 道 (ethernet channel) ,主要 用 于 交换 机 之 间 连 接 。 由 于 两 个 交换 
机 之 间 有 多 条 元 余 链 路 的 时 候 ,STP 会 将 其 中 的 几 条 链 路 关闭 ,只 保留 一 条 ,这 样 可 以 避免 
二 层 的 环 路 产生 。 由 于 STP 链 路 切换 很 慢 ,失去 了 路 径 完 余 的 优点 ,使 用 以 太 通 道 , 交 换 机 
会 把 一 组 物理 端口 联合 起 来 ,作为 一 个 逻辑 的 通道 ,也 就 是 channel-group, 这 样 交 换 机 会 认 
为 这 个 逻辑 通道 为 一 个 端口 。 

技术 优点 : 

CD. 带宽 增加 ,带宽 相当 于 一 组 端口 的 带宽 总 和 。 

© 增加 宛 余 ,只 要 组 内 不 是 所 有 的 端口 都 停机 不 工作 ,两 个 交换 机 之 间 就 仍然 可 以 继 

© 负载 均衡 ,可 以 在 组 内 的 端口 上 配置 ,使 流量 可 以 在 这 些 端口 上 自动 进行 负载 均 衔 。 

端口 聚合 可 将 多 物理 连接 当 作 一 个 单一 的 逻辑 连接 处 理 , 它 允许 两 个 交换 机 之 间 通 过 
多 个 端口 并 行 连接 ,同时 传输 数据 ,以 提供 更 高 的 带宽 .更 大 的 春 吐 量 和 可 恢复 性 的 技术 。 
一 般 来 说 ,两 个 普通 交换 机 连接 的 最 大 带宽 取决 于 媒介 的 连接 速度 ,而 使 用 Trunk 技术 可 
以 将 4 个 200M 的 端口 拥 绑 成 为 一 个 高 达 800M 的 连接 。 这 一 技术 的 优点 是 以 较 低 的 成 本 
通过 拥 绑 多 端口 提高 带宽 ,而 其 增加 的 开销 只 是 连接 用 的 普通 五 类 网 线 和 多 占用 的 端口 , 它 
可 以 有 效 提高 上 行 速度 ,从 而 消除 网 络 访问 中 的 瓶颈 。 另 外 ,Tunk 还 具有 自动 带宽 平衡 , 即 
容错 功能 ,即使 Trunk 只 有 一 个 连接 存在 时 ,仍然 会 工作 ,这 无 形 中 增加 了 系统 的 可 靠 性 。 

端口 聚合 有 两 种 方式 : 一 种 是 手动 方式 ;一 种 是 自动 方式 。 

1. 手动 方式 
手动 方式 很 简单 ,设置 端口 成 员 链 路 两 端的 模式 为 on 即 可 。 命 令 格式 为 
Channel- group <number 组 号 >mode on 
如 图 4. 37 所 示 , 交 换 机 Switcho 的 G1/1 口 和 G1/2 口 分 别 和 交换 机 Switchl 的 G1/1 和 


G1/2 口 相 级 联 。 要 求 将 两 台 交 换 机 的 G1/1 和 G1/2 进行 端口 聚合 。 具 体 配 置 过 程 如 下 。 
首先 配置 交换 机 Switch0。 


Switch (config)#hostname SWO 

SWO (config)# interface range gigabitEthernet 0/1-2 

SWO (config- if- range) # channel-group 1 mode on // 将 这 两 个 端口 绑 定 为 一 组 并 指定 on 模 
// 式 ,组 号 本 地 有 效 

SWO (config- if- range)fexit 

SWO (config)# interface port- channel 1 

SWO (config- if) # switchport mode trunk // 指 定 端口 模式 为 trunk, 如 不 指定 ,会 自 
// 动 继承 物理 端口 的 模式 
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其 次 配置 交换 机 Switchl 。 


Switch (config)# hostname SWl 

SW1 (config)# interface range gigabitEthernet 0/1-2 
SW1 (config- if- range)# channel- group 1 mode on 

SW1 (config-if- range)fexit 

SW1 (config)# interface port- channel 1 

SW1 (config- if)# switchport mode trunk 

SW1 (config- if)# 


通过 命令 show etherchannel summary 可 以 查看 绑 定 了 多 少 端口 。 


SWO# show etherchannel summary 
Flags: D - down P - in port- channel 
I -stand- alone s - suspended 

H -Hot- standby (LACP only) 

R -Layer3 S -Layer2 

U - in use f - failed to allocate aggregator 
u -unsuitable for bundling 

w -waiting to be aggregated 

d -default port 

Number of channel- groups in use: 1 
Number of aggregators: 1 

Group Port- channel Protocol Ports 


1 Pol(SU) -Gig0/1(P) Gig0/2(P) 
通过 命令 show interfaces etherchannel 可 以 查看 聚合 端口 的 端口 状态 。 


SWO# show interfaces etherchannel 
gigabitEthernet0/1: 

Port state =1 

Channel group =1 Mode =0n Gcchange =- 

Port- channel — Pol GC =- Pseudo port- channel - Pol 
Port index =0 Load — 0x0 Protocol =- 

Age of the port in the current state: 00d:00h:10m:40s 
gigabitEthernet0/2: 

Port state =1 

Channel group =1 Mode =On Gcchange =- 

Port- channel — Pol GC =- Pseudo port- channel — Pol 
Port index =0 Load =0x0 Protocol =- 

Age of the port in the current state: 00d:00h:10m:40s 
Port- channell:Port- channell 

Age of the Port- channel = 00d:00h:11m:18s 

Logical slot/port =2/1 Number of ports -2 

GC —0x00000000 HotStandBy port —null 

Port state — 
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Protocol =3 

Port Security =Disabled 

Ports in the Port- channel: 

Index Load Port EC state No of bits 


0 00 Gig0/1 On 0 
0 00 Gig0/2 On 0 
Time since last port bundled: 00d:00h:10m:40s Gig0/2 


2. 自动 方式 

自动 方式 有 两 种 协议 : PAgP(Port Aggregation Protocol) 和 LACP(Link Aggregation 
Control Protocol) 。 

PAgP 即 Cisco 设备 的 端口 聚合 协议 ,有 auto 和 desirable 两 种 模式 auto 模式 在 协商 中 只 
收 不 发 ,desirable 模式 的 端口 收发 协商 的 数据 包 。LACP 即 标准 的 端口 聚合 协议 802. 3ad, 有 
active 和 passive 两 种 模式 active 相当 于 PAgP 的 auto, Mi passive 相当 于 PAgP 的 desirable, 

自动 方式 配置 二 层 EtherChannel, 如 图 4. 37 所 示 。 


L. 本 pE [T 
A. G02 3 EE. 
PC-PT 2960-24TT 2960-24TT PC-PT 
PCO Switch0 Switchl PCI 


图 4.37 二 层 端口 聚合 网 络 拓扑 图 


具体 配置 过 程 如 下 。 

Switch# config t // 进 入 全 局 配置 模式 

Enter configuration commands, one per line. End with CNTL/Z. 

Switch (config) # hostname sw0 // 为 交换 机 命名 

Sw0 (config)# interface range gigabitEthernet 0/1 -2 // 进 入 交换 机 GO/1 和 60/2 口 

sw0 (config- if- range)# channel- protocol pagp // 为 交换 机 配置 端口 聚合 协议 pagp 


sw0 (config- if- range)# channel- group 1 mode auto 
SWO (config- if- range) #exit 

SWO (config) # interface port- channel 1 

SWO (config- if)# switchport mode trunk 


同样 配置 男 一 台 交 换 机 。 


Switch# config t // 进 入 全 局 配置 模式 
Enter configuration commands, one per line. End with CNTL/Z. 
Switch (config) #hostname SWl // 为 交换 机 命名 


SW1 (config)# interface range gigabitEthernet 0/1 -2 
SW1 (config- if- range) # channel- protocol pagp 

SW1 (config- if- range) # channel- group 1 mode auto 
SW1 (config-if- range)fexit 

SW1 (config)# interface port- channel 1 

SW1 (config-if)4switchport mode trunk 


通过 show etherchannel summary 命令 可 以 查看 端口 通道 的 状态 。 
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SWO# show etherchannel summary 
Flags: D -down P - in port- channel 
I -stand-alone s - suspended 

H -Hot- standby (LACP only) 

R -Layer3 S -Layer2 

U - in use f - failed to allocate aggregator 
u -unsuitable for bundling 

w -waiting to be aggregated 

d -default port 

Number of channel- groups in use: 1 
Number of aggregators: 1 

Group Port- channel Protocol Ports 


1 Pol (SD) PAgP Gig0/1(I) Gig0/2(I) 


4.5.2 配置 三 层 EtherChannel 


配置 三 层 EtherChannel, 就 是 将 多 个 三 层 端口 绑 定 , 只 能 在 三 层 交 换 机 上 配置 。 在 
图 4. 38 所 示 的 三 层 交 换 机 上 ,所 有 端口 默认 都 是 二 层 端口 。 首 先 需 要 将 交换 机 的 二 层 
端口 配置 为 三 层 端口 ,然后 再 绑 定 。 配 置 三 层 EtherChannel 的 网 络 拓扑 图 ,具体 过 程 


如 下 : 
swl sw2 
-一 一 G0/1 
E——83 ~ B3—— 2. 
m n 
PC-P 3560-24PS G02 3560-24PS PC-PT 
PCO Multilayer Switch0 Multilayer Switchl PCI 
图 4.38 三 层 端口 聚合 网 络 拓扑 图 
首先 配置 交换 机 sw1l 。 
Swl (config)# int range gigabitEthernet0/1 -2 // 进 入 端口 1 和 2 


swl (config- if)#no switchprot 

swl (config- if)# channel- group 1 mode deseriable 
swl (config)# interface port- channel 1 

swl (config- if)# ip address 192.168.1.1 255.255.255.0 


wl (config- if)# end 
其 次 配置 交换 机 sw2。 


sw2 (config)# int range gigabitEthernet0/1 -2 
sw2 (config- if)# no switchprot 

sw2 (config- if)# channel- group 1 mode desirable 
sw2 (confif)# interface port- channel 1 


sw2 (config-if)fip address 192.168.1.2 255.255.255.0 
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4.6 本 章 小 结 


本 章 首先 讲解 了 广播 域 及 冲突 域 ,提出 了 交换 机 广播 隔离 技术 一 一 VLAN 技术 ,探讨 
了 广播 风暴 产生 的 原因 以 及 带 来 的 危害 ,并 分 析 了 广播 风暴 的 解决 方法 。 

本 章 接着 讲解 了 交换 机 常见 的 基于 端口 .基于 MAC 地 址 、 基 于 网 络 层 协 议 、 基 于 IP 组 
播 .基于 策略 的 VLAN 划分 方法 ,并 详细 介绍 了 基于 端口 VLAN 划分 的 配置 方法 以 及 跨 交 
换 机 的 VLAN 划分 方法 。 探 讨 了 交换 机 端口 的 access、trunk、hybird 3 种 工作 模式 ,以 及 交 
换 机 的 VTP 技术 ,并 详细 讲解 了 VTP 配置 过 程 。 

本 章 最 后 详细 讲解 了 交换 机 网 络 健壮 性 增强 技术 ,包括 交换 机 生成 树 协议 STP 和 端口 
聚合 技术 以 及 它们 的 配置 过 程 。 


4.7 习题 


. 什么 是 广播 域 ? 

. 什么 是 冲突 域 ? 

. 广播 风暴 产生 的 原因 有 哪些 ? 

. 广播 风暴 问题 的 解决 方案 和 防范 措施 有 哪些 ? 
什么 是 VLAN BOR? 

.VLAN 常见 的 划分 方法 有 哪些 ? 

.什么 是 VTP? 

. 什么 是 STP? 

. 什么 是 端口 聚合 ?端口 聚合 的 优点 是 什么 ? 


( O0») -3 O c» & Qot- 
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本 章 学 习 目 标 

。 掌握 常见 的 路 由 算法 种 类 

。 了 解 路 由 协议 分 类 ,并 熟悉 它们 的 概念 
。 掌握 直 连 路 由 工作 原理 

。 掌握 静态 路 由 工作 原理 及 配置 方法 

。 掌握 管理 距离 与 度量 值 的 概念 

。 掌握 浮动 静态 路 由 工作 原理 及 配置 方法 
。 掌握 默认 路 由 工作 原理 及 配置 方法 


本 童 首先 介绍 路 由 算法 的 分 类 、 路 由 协议 的 分 类 ,接着 介绍 直 连 路 由 的 工作 原理 ,静态 
路 由 的 工作 原理 及 配置 实例 ,之 后 讲解 浮动 静态 路 由 的 工作 原理 及 配置 过 程 ,最 后 讲解 默认 
路 由 的 工作 原理 及 配置 过 程 。 


5.1 路 由 技术 介绍 


路 由 技术 主要 指 路 由 选择 算法 。 路 由 选择 算法 可 以 分 为 静态 路 由 选择 算法 和 动态 路 由 
选择 算法 。 因 特 网 路 由 选择 协议 分 为 两 大 类 ,分 别 为 内 部 网 关 协 议 (Interior Gateway 
Protocol. IGP), 具体 的 协议 有 RIP 和 OSPF 等 和 外 部 网 关 协 议 (Exterior Gateway 
Protocol. EGP) ,目前 使 用 最 多 的 外 部 网 关 协 议 是 BGP. 


5.1.1 路 由 算法 分 类 


路 由 选择 算法 就 是 路 由 选择 的 方法 或 策略 ,按照 路 由 选择 算法 能 否 随 网 络 的 拓扑 结构 
或 者 通信 量 自 适应 地 进行 调整 变化 进行 分 类 ,可 将 路 由 选择 算法 分 为 静态 路 由 选择 算法 和 
动态 路 由 选择 算法 。 

1. 静态 路 由 选择 算法 

静态 路 由 选择 算法 就 是 非 自 适 应 路 由 选择 算法 ,这 是 一 种 不 测量 .不 利用 网 络 状态 信 
息 , 仅 按照 某 种 固定 规律 进行 决策 的 简单 路 由 选择 算法 。 静 态 路 由 选择 算法 的 特点 是 简单 和 
开销 小 ,但 是 不 能 适应 网 络 状态 的 变化 。 苦 态 路 由 是 依靠 手工 输入 的 信息 配置 路 由 表 的 方法 。 

静态 路 由 具有 以 下 优点 : 四 减少 了 路 由 器 的 日 常 开销 ; 加 在 小 型 互联 网 上 很 容易 配 
Tis @@ 可 以 控制 路 由 选择 的 更 新 。 但 是 ,静态 路 由 在 网 络 变化 频繁 出 现 的 环境 中 并 不 会 很 
好 地 工作 。 在 大 型 和 经 常 变动 的 互联 网 中 ,配置 静态 路 由 是 不 现实 的 。 

2. 动态 路 由 选择 算法 

动态 路 由 选择 算法 就 是 自 适应 路 由 选择 算法 ,是 依靠 当前 网 络 的 状态 信息 进行 决策 ,从 
而 使 路 由 选择 结果 在 一 定 程度 上 适应 网 络 拓扑 和 通信 量 的 变化 而 变化 。 

动态 路 由 选择 算法 的 特点 是 能 较 好 地 适应 网 络 状态 的 变化 ,但 是 实现 起 来 较为 复杂 , 开 
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销 也 比较 大 。 AAEE E E AATE EN TANET AE, 分 
布 式 路 由 选择 算法 是 每 一 个 结 点 通过 定期 与 相 邻 结 点 交换 路 由 选择 状态 信息 修改 各 自 的 路 
UE 个 由 处 于 一 种 动态 变化 的 状态 。 集 中 式 路 由 选择 算法 是 在 网 
络 中 设置 一 个 结 点 ,专门 收集 各 个 结 点 定期 发 送 的 状态 信息 ,然后 由 该 结 点 根据 网 络 状 态 信 
各 动态 计算 出 每 一 个 结 点 的 路 由 表 , 再 将 新 的 路 由 表 发 送 给 各 个 结 点 


5.1.2. 路 由 协议 分 类 


要 探讨 路 由 协议 分 类 ,首先 须 掌 握 两 个 概念 , 即 自治 系统 以 及 动态 路 由 。 

1. 自治 系统 

自治 系统 (Autonomous System,AS) 指 的 是 处 于 一 个 管理 机 构 控制 下 的 路 由 器 和 网 络 
群 组 。 由 于 因特网 规模 庞大 ,为 了 路 由 选择 的 方便 和 简化 ,一 般 将 整个 因特网 划分 为 许多 较 
小 的 区 域 , 这 样 的 区 域 称 为 自治 系统 。 每 个 自治 系统 内 部 采用 的 路 由 协议 可 以 不 同 , 自 治 系 
统 根据 自身 的 情况 有 权 决 定 采用 哪 种 路 由 选择 协议 。 

2. 动态 路 由 

动态 路 由 是 指 路 由 协议 可 以 根据 实际 情况 自动 生成 路 由 表 的 方法 。 动 态 路 由 的 主要 优 
点 是 : 运行 动态 路 由 选择 协议 (如 RIP, EIGRP 或 en dani in 
路 径 ,而 正在 进行 数据 传输 的 一 条 路 径 发 生 中 断 ,路 由 器 可 以 自动 选择 另外 一 条 路 径 传输 数 
据 。 这 对 于 建立 大 型 网 络 具有 绝对 的 优势 。 

动态 路 由 协议 分 为 IGP 和 EGP。 而 IGP 又 可 分 为 距离 矢量 路 由 协议 和 链 路 状态 路 由 协议 。 

1) IGP 以 及 EGP 

IGP 指 在 一 个 自治 系统 内 使 用 的 路 由 选择 协议 。 常 见 的 IGP 有 RIP、EIGRP 和 OSPF 等 
EGP 指 自治 系统 与 自治 系统 间 使 用 的 路 由 选择 协议 。 常 见 的 EGP 有 BGP( 即 BGP-4) 等 。 

(1) IGP, 

IGP 是 在 一 个 自治 系统 内 交换 路 由 信息 的 协议 。 互 联网 (Internet) 被 分 成 多 个 自治 系 
统 。 自 治 系统 内 部 运行 的 动态 路 由 协议 称 为 IGP。 同 一 自治 系统 内 部 和 运行 的 IGP 可 以 相 
同 ,也 可 以 不 相同 。 

开放 式 最 短路 径 优先 (Open Shortest Path First. OSPF) 是 一 个 内 部 网 关 协 议 , 用 于 在 
单一 自治 系统 内 决策 路 由 。OSPF 是 与 OSI 的 ISAS 协议 十 分 相似 的 内 部 路 由 选择 协议 。 

增强 内 部 网 关 路 由 协议 (Enhanced Interior Gateway Routing Protocol, EIGRP ) 是 
Cisco 公司 的 私有 协议 ,结合 了 链 路 状态 和 距离 矢量 特点 的 路 由 选择 协议 ,采用 弥散 修正 算 
法 (DUAL) 实 现 快速 收敛 。 可 以 不 定期 发 送 路 由 更 新 信息 ,以 减少 带宽 的 占用 ,支持 
AppleTalk, IP, Novell 和 Netware 等 多 种 网 络 层 协议 。 

路 由 信息 协议 (Routing Information Protocol,RIP) 是 另 一 个 内 部 网 关 协 议 , 是 内 部 网 
关 协 议 中 最 先 得 到 广泛 使 用 的 协议 ,是 互联 网 的 标准 协议 ,其 最 大 优点 是 实现 简单 ,开销 较 
小 。 缺 点 主要 表现 在 : 四 限制 了 网 络 的 规模 ; @ 路 由 器 交换 的 信息 是 路 由 器 的 完整 路 由 
表 ; @“ 坏 消息 传播 得 慢 ”, 使 更 新 过 程 的 收敛 时 间 过 长 。 

(2) EGP, 

EGP 为 位 于 自治 系统 域 边界 的 两 个 相 邻 的 周边 路 由 器 提供 一 种 交换 消息 和 信息 的 方 
法 。 在 区 域 的 边界 ,周边 路 由 器 将 一 个 域 与 其 他 域 相连 。 这 些 路 由 器 使 用 外 部 路 由 选择 协 
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议 (EGP) 交 换 路 由 选择 。 

边界 网 关 协 议 (BGP) 是 运行 于 TCP 上 的 一 种 外 部 网 关 路 由 协议 。BGP 是 唯一 一 个 用 
来 处 理 互联 网 网 络 的 协议 ,也 是 唯一 能 妥善 处 理 好 不 相关 路 由 域 间 的 多 路 连接 的 协议 。 

2) 距离 矢量 路 由 协议 与 链 路 状态 路 由 协议 

COD 距离 矢量 路 由 协议 。 

距离 矢量 路 由 协议 通过 计算 网 络 中 链 路 的 距离 矢量 ,然后 根据 计算 结果 进行 路 由 选择 。 
典型 的 距离 矢量 路 由 选择 协议 有 RIP 等 。 运 行距 离 矢 量 路 由 协议 的 路 由 器 定期 向 邻居 路 
由 器 发 送 消息 ,消息 的 内 容 就 是 本 路 由 器 的 路 由 表 信息 ,如 四 到 达 目 的 网 络 经 过 的 距离 ; 
@ 到 达 目 的 网 络 的 下 一 跳 地 址 。 

RIP 使 用 距离 向 量 算法 计算 路 由 选择 路 径 。 路 由 选择 基于 到 一 个 目的 站 中 的 最 少 路 由 
中 继 数 。RIP 路 由 选择 表 与 其 他 路 由 器 每 30 秒 交 换 一 次 。 

(2) 链 路 状态 路 由 协议 。 

典型 的 链 路 状态 路 由 协议 有 OSPF 等 。 运 行 链 路 状态 路 由 协议 的 路 由 器 最 终 目 的 是 学 
习 到 整个 网 络 的 拓扑 结构 。 运 行 链 路 状态 路 由 协议 的 每 个 路 由 器 都 要 提供 链 路 状态 的 拓扑 
结构 信息 ,信息 的 内 容 包括 : 路 由 器 所 连接 的 网 段 链 路 ; 四 该 链 路 的 物理 状态 。 路 由 器 
根据 网 络 拓扑 结构 的 变化 及 时 修改 路 由 配置 ,以 适应 新 的 路 由 选择 。OSPF 通过 路 由 器 之 
间 网 络 端口 的 状态 建立 链 路 状态 数据 库 ,生成 最 短路 径 树 。 


5.2 直 连 路 由 与 静态 路 由 技术 


根据 路 由 器 学 习 路 由 信息 、 生 成 并 维护 路 由 表 的 方法 不 同 ,将 路 由 划分 为 3 种 ,分 别 为 
直 连 路 由 、 静 态 路 由 和 第 6 章 介绍 的 动态 路 由 。 


5.2.1 直 连 路 由 


直 连 路 由 是 由 链 路 层 协议 发 现 的 ,一 般 指 去 往 路 由 器 的 端口 地 址 所 在 网 段 的 路 径 。 直 
连 路 由 无 须 手工 配置 ,只 需要 路 由 器 相关 端口 配置 网 络 协议 地 址 ,同时 管理 状态 、 物 理 状 态 
和 链 路 协议 均 为 打开 或 启动 状态 (UP) 时 ,路 由 器 能 够 自动 感知 该 链 路 存在 ,端口 上 配置 的 
IP 网 段 地 址 会 自动 出 现在 路 由 表 中 , 且 与 端口 关联 ,并 动态 地 随 端 口 状 态 变 化 而 在 路 由 表 
中 出 现 或 消失 。 图 5. 1 所 示 为 直 连 路 由 网 络 拓 扑 图 ,各 个 设备 的 IP 地 址 规划 见 表 5. 1。 
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5.1 直 连 路 由 网 络 拓扑 图 
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表 5.1 IP 地 址 规划 


设 备 端口 IP 地 址 子 网 掩 码 默认 网 关 
Fa0/0 192.168.1.1 255. 255. 255.0 
" Fa0/1 192.168.2.1 255. 255. 255.0 
Fa0/0 192.168.3.1 255. 255. 255.0 
» Fa0/1 192.168.2.2 255. 255. 255.0 
PEL 网 卡 192. 168. 1. 100 255. 255. 255. 0 192. 168. 1.1 
PC2 网 卡 192. 168. 3. 100 255. 255. 255. 0 192.168.3.1 


按照 表 5. 1 所 示 IP 地 址 的 规划 ,对 图 5. 1 的 网 络 进行 IP 地 址 配置 ,配置 完成 后 ,通过 
命令 “show ip route” 可 以 查看 路 由 器 R1 和 路 由 器 R2 的 路 由 表 。 
路 由 器 R1 的 路 由 表 如 下 。 


Rl# show ip route 

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll - IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U - per- user static route, o -ODR 
P -periodic downloaded static route 

Gateway of last resort is not set 

g 192.168.1.0/24 is directly connected, FastEthernet0/0 

c 192.168.2.0/24 is directly connected, FastEthernet0/1l 

Rl# 


路 由 器 R2 的 路 由 表 如 下 。 


R2# show ip route 

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U -per- user static route, o -ODR 
P -periodic downloaded static route 

Gateway of last resort is not set 

c 192.168.2.0/24 is directly connected, FastEthernet0/1 

c 192.168.3.0/24 is directly connected, FastEthernet0/0 

R2# 


两 台 路 由 器 的 路 由 表 显 示 结 果 中 , 直 连 路 由 以 字母 C 表示 , 即 connected。 路 由 器 RI 
和 R2 分 别 获得 了 两 条 直 连 路 由 。R1 路 由 器 获得 了 到 网 络 192. 168. 1.0 以 及 192. 168. 2.0 
的 直 连 路 由 ,其 中 网 络 192. 168. 1. 0 与 路 由 器 RI 的 端口 Fa0/0 直接 相连 ,网 络 192. 168. 2. 0 
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与 路 由 器 RI 的 端口 Fa0/1 相连 。 

路 由 器 R2 获得 了 到 网 络 192. 168. 2. 0 以 及 192. 168. 3. 0 的 直 连 路 由 ,其 中 网 络 
192.168.2.0 与 路 由 器 R2 的 端口 Fa0/1 直接 相连 ,网 络 192. 168. 3. 0 与 路 由 器 R2 的 端 
口 Fa0/0 相连 。 


5.2.2. 静态 路 由 


静态 路 由 是 由 网 络 管理 员 根 据 网 络 拓扑 ,使 用 命令 在 路 由 器 上 手工 配置 的 路 由 。 静 态 
路 由 的 缺点 是 , 它 不 会 随 着 网 络 拓扑 结构 的 变化 而 随 之 改变 路 由 信息 , 当 网 络 拓扑 发 生变 化 
而 需要 改变 路 由 时 ,管理 员 必须 手工 改变 路 由 信息 。 静 态 路 由 的 优点 是 ,路 由 器 不 需要 进行 
路 由 计算 ,不 占用 路 由 器 CPU 及 存储 资源 , 它 完全 依赖 于 网 络 管理 员 的 手动 配置 。 

如 图 5. 1 所 示 的 网 络 拓扑 ,初始 状态 下 ,路 由 器 R1 和 R2 分 别 获得 了 两 条 直 连 路 由 ,在 
该 状态 下 ,主机 PCI 和 主机 PC2 之 间 不 能 进行 互相 通信 ,具体 过 程 简单 分 析 如 下 。 

主机 PCI 通过 计算 匹配 ,发 现 要 访问 的 目标 主机 PC2 和 自己 并 不 处 于 同一 个 网 络 中 ， 
不 能 直接 进行 访问 ,此 时 ,主机 PCI 将 访问 请 求 发 送 给 它 的 网 关 路 由 器 R1 进行 处 理 ( 这 里 
需要 说 明 的 是 ,主机 PCT 若 要 访问 异 构 网 络 , 必 须 配置 网 关 地 址 )。 此 访问 请 求 的 发 送 需 要 
底层 数据 链 路 层 以 及 物理 层 的 帮助 ,主机 PCI 通过 ARP 获得 路 由 器 RI 的 端口 Fa0/0 的 
MAC 地 址 ,主机 PCT 将 网 际 层 的 IP 数据 包 封装 帧 头 和 帧 尾 , 形 成 数据 链 路 层 的 帧 ,其 中 帧 
头 的 目的 MAC 地 址 为 ARP 获得 的 路 由 器 RI 的 端口 Fa0/0 的 MAC 地址。 最 终 通过 物理 
层 的 主机 PCI 的 网 卡 端口 将 二 进 制 比特 流通 过 通信 介质 传输 给 路 由 器 R1 的 端口 Fa0/0。 
路 由 器 RI 需要 获得 目的 IP 地 址 ,才能 在 路 由 表 中 查找 对 应 的 路 由 条 目 进行 数据 转发 。 路 
由 器 RI 的 端口 Fa0/0 获得 的 二 进 制 比特 流 需要 由 底层 向 高 层 进行 解 封装 ,去掉 数据 链 路 
层 的 帧 头 和 帧 尾 ,此 时 才能 得 到 网 际 层 的 TP 数据 报 ,在 TP 数据 报 中 可 以 获得 需要 访问 的 目 
的 IP 地 址 为 192. 168. 3. 100 ,通过 与 子 网 掩 码 255. 255. 255. 0 做 与 运算 ,得 到 目标 网 络 地 
址 为 192. 168. 3. 0 ,接着 路 由 器 查找 自己 的 路 由 表 , 寻 找到 目标 网 络 192. 168. 3. 0 的 路 由 条 
目 。 而 此 时 路 由 器 RI 的 路 由 条 目 仅 有 两 条 ,分 别 为 到 网 络 192. 168. 1. 0 和 到 网 络 192. 
168. 2. 0 的 直 连 路 由 ,没有 到 网 络 192. 168. 3. 0 的 路 由 条 目 。 因 此 需要 在 路 由 器 R1 中 添加 
到 达 目 标 网 络 192. 168. 3. 0 的 路 由 条 目 , 这 样 才 能 让 数据 包 继续 传输 下 去 。 通 过 配置 静态 
路 由 可 以 添加 该 路 由 条 目 。 静 态 路 由 的 配置 格式 如 下 。 


Router (config)#ip route 目标 网 络 地 址 目标 网 络 子 网 掩 码 下 一 跳 地 址 
在 链 路 两 端 只 连接 了 两 台 路 由 器 的 点 到 点 链 路 上 ,也 可 以 不 使 用 下 一 跳 地 址 ,而 改 用 本 
路 由 器 出 口 的 端口 标识 。 在 多 路 访问 链 路 ,如 以 太 网 或 帧 中 继 上 ,将 不 能 使 用 这 种 方式 , 因 


为 若 有 多 台 设 备 出 现在 链 路 上 ,本 地 路 由 器 就 不 知道 应 当 将 信息 转发 到 哪 一 台 路 由 器 上 了 。 
在 路 由 器 RI 的 路 由 表 里 添加 到 网 络 192. 168. 3. 0 的 静态 路 由 ,具体 配置 命令 如 下 。 


R1 (config)# ip route 192.168.3.0 255.255.255.0 192.168.2.2 
R1 (config) # 


通过 命令 show ip route 查看 路 由 器 R1 的 路 由 表 如 下 。 


R14 show ip route 
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Codes: C - connected, S - static, I — IGRP, R - RIP, M - mobile, B -BGP 
D —EIGRP, EX -EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS-IS level-1, L2 -IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U -per-user static route, o -ODR 
P -periodic downloaded static route 

Gateway of last resort is not set 

c 192.168.1.0/24 is directly connected, FastEthernet0/0 

c 192.168.2.0/24 is directly connected, FastEthernet0/1 

s 192.168.3.0/24 [1/0] via 192.168.2.2 

Rl# 


结果 显示 ,路 由 器 RI 除了 前 面 获 得 的 两 条 直 连 路 由 ,还 新 增加 了 到 目标 网 络 192. 168. 
3.0 的 静态 路 由 条 目 “S 192.168. 3. 0/24 [1/0] via 192. 168. 2. 2”, 其 中 S 表明 是 静态 路 
由 ,192. 168. 3. 0/24 为 目标 网 络 地 址 。[1/0] 中 的 1 表示 管理 距离 (AD),0 表示 度量 值 
(metric) 。via 表示 通过 ,经 由 。192. 168. 2.2 为 下 一 跳 地 址 。 

同样 ,在 路 由 器 R2 上 配置 到 网 络 192. 168. 1.0 的 静态 路 由 ,具体 配置 过 程 如 下 。 


R2 (config)# ip route 192.168.1.0 255.255.255.0 192.168.2.1 
R2 (config) # 


路 由 器 R2 到 达 目 标 网 络 192. 168. 1. 0 的 下 一 跳 地 址 为 192. 168. 2. 1。 通 过 show ip 
route 命令 查看 路 由 器 R2 的 路 由 表 如 下 。 


R2# show ip route 

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1l, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U -per-user static route, o -ODR 
P - periodic downloaded static route 

Gateway of last resort is not set 

S 192.168.1.0/24 [1/0] via 192.168.2.1 

i 192.168.2.0/24 is directly connected, FastEthernet0/1 

[c 192.168.3.0/24 is directly connected, FastEthernet0/0 

R2 


最 终 用 ping 命令 测试 主机 PCI 与 主机 PC2 的 网 络 连通 性 情况 ,结果 如 下 。 


PC»ping 192.168.3.100 
Pinging 192.168.3.100 with 32 bytes of data: 

Reply from 192.168.3.100: bytes-32 time-l4ms TTL- 126 
Reply from 192.168.3.100: bytes-32 time-15ms TTL- 126 
Reply from 192.168.3.100: bytes-32 time= 10ms TTL- 126 
Reply from 192.168.3.100: bytes-32 time-12ms TTL- 126 
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Ping statistics for 192.168.3.100: 
Packets: Sent =4, Received —4, Lost =0 (0$10ss), 
Approximate round trip times in milli- seconds: 
Minimum —10ms, Maximum —15ms, Average =12ms 
PC» 
结果 表明 ,PC1 能 够 ping 通 PC2 ,网 络 是 连通 的 ,ping 结果 返回 的 生存 时 间 (Time To 
Live,TTL) 值 为 126, 说 明 两 台 主 机 之 间 经 过 了 两 台 路 由 器 。 每 经 过 一 台 路 由 器 ,TTL 值 减 
1。 因 为 经 过 两 台 路 由 器 ,所 以 TTL 值 为 128 一 2 二 126, 结 果 与 实际 相符 。 
下 面 介 绍 管理 距离 (AD) 和 度量 值 的 概念 。 
1. 管理 距离 
路 由 器 可 能 从 多 种 途径 获得 到 同一 目的 地 的 多 条 路 由 ,如 到 某 一 目的 地 既 可 以 通过 静 
态 路 由 获得 路 径 ,又 可 以 通过 动态 路 由 RIP 获得 不 同 的 路 径 。 为 了 区 分 不 同 路 由 获得 路 径 
的 可 信 度 ,用 管理 距离 加 以 表示 。 管 理 距离 越 小 ,说 明 路 由 的 可 信 度 越 高 ,在 进行 路 由 转发 
时 就 越 优先 考虑 ;静态 路 由 的 管理 距离 为 1 ,说 明 手 工 输入 的 静态 路 由 优先 级 通常 高 于 其 他 
路 由 。 各 类 路 由 的 管理 距离 见 表 5. 2。 
表 5.2 各 类 路 由 的 管理 距离 


路 由 管理 距离 路 由 管理 距离 
直 连 路 由 0 OSPF 110 
静态 路 由 1 RIP 120 
外 部 BGP 20 外 部 EIGRP 170 
内 部 EIGRP 90 内 部 BGP 200 
IGRP 100 
2. 度量 值 


路 由 协议 必须 通过 一 定 的 标准 判别 到 达 目 的 网 络 的 最 佳 路 径 。 当 一 路 由 器 有 多 条 路 径 
到 达 某 一 目的 网 络 时 ,路 由 协议 必须 判断 其 中 哪 一 条 是 最 佳 的 ,并 把 它 放 入 路 由 表 中 ,路 由 
协议 会 给 每 一 条 路 径 计算 出 一 个 数 ,这 个 数 就 是 度量 值 ,通常 这 个 值 是 没有 单位 的 。 度 量 值 
越 小 ,这 条 路 径 就 越 佳 ,就 越 优 先 放 和 路 由 表 中 。 然 而 ,不 同 的 路 由 协议 定义 度量 值 的 方法 
是 不 一 样 的 ,因此 不 同 路 由 协议 之 间 度 量 值 的 大 小 是 没有 可 比 性 的 。 同 样 的 网 络 拓扑 通过 
不 同 路 由 协议 ,它们 选择 出 的 最 佳 路 径 可 能 也 不 一 样 。 度 量 值 指明 了 路 径 的 优先 权 ,而 管理 
距离 指明 了 发 现 路 由 方式 的 优先 权 。 


5.2.3 浮动 静态 路 由 


所 谓 浮动 静态 路 由 (floating static route) 是 指 对 同一 个 目的 网 络 配置 不 同 的 下 一 跳 , 并 
且 它 们 的 管理 距离 也 不 同 的 多 条 静态 路 由 ,静态 路 由 默认 管理 距离 为 1, 在 实际 配置 静态 路 
由 时 ,可 以 在 静态 路 由 命令 ip route 的 末尾 添加 一 个 可 选项 参数 distance, 以 便 对 此 特定 的 
静态 路 由 分 配 一 个 比 默认 管理 距离 1 高 一 些 的 管理 距离 值 。 正 常情 况 下 ,只 有 管理 距离 最 
小 的 静态 路 由 优先 考虑 ,进行 数据 包 转 发 。 而 浮动 静态 路 由 表 项 不 会 进行 数据 包 的 转发 。 
只 有 当 优先 转发 数据 包 的 静态 路 由 失效 时 ,管理 距离 值 为 次 小 的 浮动 静态 路 由 才 被 启用 ,这 
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样 可 以 保障 目的 网 络 总 是 可 达 的 ,提高 了 网 络 可 用 性 。 实 际 上 ,不 仅 与 静态 路 由 的 管理 距离 
进行 比较 ,还 会 与 动态 路 由 的 管理 距离 进行 比较 , 当 端 口上 同时 配置 了 静态 路 由 、 浮 动静 态 
路 由 和 动态 路 由 , 且 静 态 路 由 无 效 时 ,浮动 静态 路 由 并 不 一 定 会 生效 ,这 还 要 看 它 所 配置 的 
管理 距离 是 否 低 于 所 配置 的 动态 路 由 的 管理 距离 。 

在 图 5. 1 中 ,为 了 实现 浮动 静态 路 由 ,需要 在 路 由 器 RL 和 路 由 器 R2 之 间 加 一 条 宛 余 
的 点 到 点 链 路 ,以 便于 一 条 链 路 失效 时 , 另 一 条 宛 余 备 份 链 路 被 激活 ,从 而 使 网 络 能 够 正常 
工作 。 在 图 5. 1 中 ,路 由 器 RI 和 路 由 器 R2 之 间 通 过 串口 serial 实现 了 备份 链 路 。Serial 
端口 也 称 高 速 同 步 串 口 ,主要 是 连接 广域网 的 V. 35 线 缆 用 的 ,具体 配置 时 需要 在 DCE 端 
设置 时 钟 。 实 现 浮 动静 态 路 由 拓扑 图 如 图 5.2 所 示 。 


Fa0/1 


一 一 一 一 一 一 一 一 一 一 一 人 


Fa0/0 79811 S000 S0/0/0 2811 «. 
," Routerl Router? `s, 
74 N 
7 、 
/ 、 
^ NS 
4 ^e 
EL 1 
PC-PT PC-PT 
PCI PC2 


图 5.2 实现 浮动 静态 路 由 拓扑 图 


在 Cisco Packet Tracer 仿真 软件 中 Cisco 路 由 器 2811 默认 不 带 串 口 模块 ,如 果 要 完成 
该 实验 ,需要 在 路 由 器 中 插入 相应 的 串口 模块 。 搬 入 串口 模块 的 操作 过 程 如 下 。 
第 一 步 : 单 击 Cisco 路 由 器 2811 ,弹出 如 图 5. 3 Bros tlg "d BEER PEE 。 


Physical Config CLI 


Physical Device View 
Zoomin | ononalsze | zoomout | 


Adding Modules: Drag the module to an available ^| |} [m | 
slot on the device. | 
Removing Modules: Drag the module from the — v|| | | 


5. 3 “ 插 模块 ”窗口 
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第 二 步 : 关闭 路 由 器 的 电源 开关 ,使 路 由 器 处 于 断 电 状态 。 


第 三 步 : 选择 左边 Physical 窗口 中 的 WIC-2T 模块 。WIC-2T 端口 卡 是 一 款 模块 端口 
卡 ,产品 概述 为 两 端口 串 行 广域网 端口 卡 ,支持 V. 35 端口 。 将 该 端口 卡 拖 放 到 路 由 器 上 插 


槽 的 相应 位 置 ,然后 松 开 鼠标 。 最 后 点 击 电源 开关 ,打开 电源 ,结果 如 图 5.4 所 示 。 


同样 在 另 一 台 路 由 器 上 插入 同样 的 模块 ,此 时 可 以 实现 如 图 5. 2 所 示 的 网 络 连接 。 该 


Adding Modules: Drag the module to an available slot on the ^ 
device. M 


实验 的 TP 地 址 规划 见 表 5.3。 
表 5.3 浮动 静态 路 由 的 IP 地 址 规划 


图 5.4 插入 模块 界面 


设 备 端口 IP 地 址 子 网 掩 码 默认 网 关 
Fa0/0 192.168.1.1 255. 255. 255. 0 
R1 Fa0/1 192. 168. 2. 1 255. 255. 255. 0 
S0/0/0 192.168.4.1 255. 255. 255. 0 
Fa0/0 192. 168. 3. 1 255. 255. 255. 0 
R2 Fa0/1 192. 168. 2. 2 255. 255. 255. 0 
S0/0/0 192.168.4.2 255. 255. 255.0 
PC1 网 卡 192. 168. 1. 100 255. 255. 255. 0 192.168.1.1 
PC2 网 卡 192. 168. 3. 100 255. 255. 255. 0 192.168.3.1 


浮动 静态 路 由 的 具体 配置 过 程 如 下 。 


(1) 按照 地 址 规划 为 路 由 器 端口 以 及 PC 配置 相应 的 网 络 地 址 参数 。 


(2) 在 路 由 器 RI 上 配置 静态 路 由 以 及 浮动 静态 路 由 。 
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R1 (config)# ip route 192.168.3.0 255.255.255.0 192.168.2.2 
R1 (config)# ip route 192.168.3.0 255.255.255.0 192.168.4.2 2 
R1 (config)# 


CD 在 路 由 器 R2 上 配置 静态 路 由 以 及 浮动 静态 路 由 。 


R2 (config)f ip route 192.168.1.0 255.255.255.0 192.168.2.1 
R2 (config)f ip route 192.168.1.0 255.255.255.0 192.168.4.1 2 
R2 (config)# 


(4) 在 路 由 器 RI 上 通过 命令 show ip route 查看 路 由 表 , 结 果 如 下 。 


Rl# show ip route 

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll - IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U - per-user static route, o -ODR 
P -periodic downloaded static route 

Gateway of last resort is not set 

€ 192.168.1.0/24 is directly connected, FastEthernet0/0 

c 192.168.2.0/24 is directly connected, FastEthernet0/1 

S 192.168.3.0/24 [1/0] via 192.168.2.2 

e 192.168.4.0/24 is directly connected, Serial0/0/0 

Rl# 


路 由 表 显 示 结 果 表明 ,路 由 器 Routerl 通过 静态 路 由 到 达 目 标 网 络 192. 168. 3.0, 其 下 
一 跳 地 址 为 192. 168. 2. 2, 而 路 由 配置 中 同样 到 达 目 标 网 络 192. 168. 3. 0 的 下 一 跳 地 址 为 
192. 168. 4. 2 的 静态 路 由 条 目 并 没有 出 现在 路 由 表 中 。 

(5) 在 路 由 器 R2 上 通过 命令 show ip route 查看 路 由 表 如 下 。 


R2# show ip route 

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS- IS level-1, L2 - IS- IS level-2, ia - IS- IS inter area 
* -candidate default, U -per- user static route, o -ODR 
P -periodic downloaded static route 

Gateway of last resort is not set 

S 192.168.1.0/24 [1/0] via 192.168.2.1 

C 192.168.2.0/24 is directly connected, FastEthernet0/1 

c 192.168.3.0/24 is directly connected, FastEthernet0/0 

c 192.168.4.0/24 is directly connected, Serial0/0/0 

R2# 


通过 路 由 器 R2 的 路 由 表 可 以 看 出 路 由 器 R2 到 达 网 络 192. 168. 1. 0 的 路 由 是 通过 下 
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一 跳 地 址 192. 168. 2. 1 完成 的 。 同 样 ,到 达 网 络 192. 168. 1. 0 下 一 跳 为 192. 168. 4. 1 的 静 
态 路 由 并 没有 出 现在 路 由 器 R2 的 路 由 表 中 。 
(6) 通过 ping 命令 测试 两 台 主机 的 连通 性 ,结果 如 下 。 


PC»ping 192.168.3.100 
Pinging 192.168.3.100 with 32 bytes of data: 
Reply from 192.168.3.100: bytes- 32 time- 54ms TTL- 126 
Reply from 192.168.3.100: bytes- 32 time- 1?ms TTL- 126 
Reply from 192.168.3.100: bytes- 32 time- ms TTL- 126 
Reply from 192.168.3.100: bytes- 32 time- 93ms TTL- 126 
Ping statistics for 192.168.3.100: 
Packets: Sent =4, Received -4, Lost =0 (0% loss), 
Approximate round trip times in milli- seconds: 
Minimum = 9ms, Maximum = 93ms, Average = 42ms 
PC» 


结果 表明 ,两 台 主机 是 连通 的 。 通 过 路 由 跟踪 命令 tracert 可 以 看 出 ,从 主机 PCI 到 主 
机 PC2 经 过 的 路 由 如 下 。 


PC»tracert 192.168.3.100 


Tracing route to 192.168.3.100 over a maximum of 30 hops: 


1 31 ms 31 ms 32 ms 192.168.1.1 
2 19 ms 63 ms 63 ms 192.168.2.2 
3 94 ms 94 ms 94 ms 192.168.3.100 


Trace complete. 
PC» 


结果 表明 ,数据 包 从 路 由 器 R1 到 目标 网 络 192. 168. 3. 0 是 通过 静态 路 由 下 一 跳 地 址 
为 192. 168. 2. 2 进行 转发 的 ,而 配置 的 浮动 静态 路 由 并 没有 发 挥 作用 。 如 果 两 台 路 由 器 之 
间 的 端口 Fa0/1 链 路 出 现 故 障 , 试 验证 浮动 静态 路 由 能 否 发 挥 作用 ? 下 面 进行 验证 。 

CD 进入 路 由 器 R1, 将 RI 路 由 器 的 Fa0/1 端口 停 掉 ,操作 如 下 。 


Rl (config)# interface fastEthernet 0/1 

R1 (config- if)# shutdown 

$LINK- 5- CHANGED: Interface FastEthernet0/1l, changed state to administratively down 

$% LINEPROTO- 5- UPDOWN: Line protocol on Interface FastEthernet0/l, changed state to down 
Rl(config-if)f 


(2) 在 路 由 器 RI 上 通过 查看 路 由 表 命令 show ip route 查看 结果 如 下 。 


Rl# show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M mobile, B -BGP 
D —EIGRP, EX —EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS-IS level-1, L2 -IS- IS level-2, ia -IS- IS inter area 
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* -candidate default, U -per-user static route, o -ODR 
P -periodic downloaded static route 

Gateway of last resort is not set 

C  192.168.1.0/24 is directly connected, FastEthernet0/0 

S  192.168.3.0/24 [2/0] via 192.168.4.2 

C  192.168.4.0/24 is directly connected, Serial0/0/0 

Ri 


C3) 通过 路 由 表 可 以 看 出 ,路 由 器 R1 到 目标 网 络 192. 168. 3. 0 的 下 一 跳 地 址 为 192. 
168.4.2, 即 浮动 静态 路 由 出 现在 路 由 表 中 ,此 时 的 管理 距离 和 度量 值 表示 为 [2/0]。 也 就 是 
说 ,管理 距离 值 为 2, 不 再 是 默认 的 1 了 。 

(4) 通过 命令 show ip route 查看 路 由 器 R2 的 路 由 表 , 结 果 如 下 。 


R2# show ip route 

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll - IS- IS level-1, L2 - IS- IS level-2, ia - IS- IS inter area 
* -candidate default, U - per- user static route, o -ODR 
P - periodic downloaded static route 

Gateway of last resort is not set 

S 192.168.1.0/24 [2/0] via 192.168.4.1 

E 192.168.3.0/24 is directly connected, FastEthernet0/0 

c 192.168.4.0/24 is directly connected, Serial0/0/0 

R2# 


结果 表明 ,路 由 器 R2 到 网 络 192. 168. 1. 0 的 路 由 条 目 变 成 了 现在 的 浮动 静态 路 由 , 即 
下 一 跳 地址 由 192. 168. 2. 1 变 成 现在 的 192. 168. 4. 1。 管 理 距离 由 1 变 成 现在 的 2。 
(5) 最 后 在 主机 PC1 上 通过 路 由 跟踪 命令 tracert 跟踪 到 主机 PC2 的 路 由 。 结 果 如 下 。 


PC> tracert 192.168.3.100 


Tracing route to 192.168.3.100 over a maximum of 30 hops: 


1 31 ms 5ms 31 ms 192.168.1.1 
2 62 ms 62 ms 63 ms 192.168.4.2 
3 94 ms 28 ms 94 ms 192.168.3.100 


Trace complete. 
PC» 


结果 表明 ,在 由 于 链 路 故障 导致 路 由 器 的 静态 路 由 出 问题 的 情况 下 , 宛 余 链 路 的 浮动 静 
态 路 由 发 挥 了 作用 ,保证 了 网 络 的 连通 性 。 


5.2.4 默认 路 由 
默认 路 由 是 一 种 特殊 的 静态 路 由 , 当 路 由 表 中 与 目的 地 址 之 间 没 有 匹配 的 表 项 时 ,路 由 
器 将 把 数据 包 发 送 给 默认 路 由 。 如 果 没 有 默认 路 由 ,那么 当 目的 地 址 在 路 由 表 中 没有 匹配 
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pp 表 项 时 , 包 将 会 被 丢弃 。 主 机 里 的 默认 路 由 通 
常 被 称 为 默认 网 关 。Windows 操作 系统 里 的 
默认 网 关 配 置 如 图 5. 5 所 示 。 
Windows 操作 系统 里 的 默认 网 关 是 
€—— M Internet 协议 (TCP/IP) 属 性 的 配置 项 ,是 一 个 
可 直接 到 达 IP 路 由 器 的 IP 地 址 。 配 置 默认 网 
关 可 以 在 IP 路 由 表 中 创建 一 个 默认 路 径 。 一 
台 主 机 可 以 有 多 个 网 关 。 默 认 网 关 指 的 是 一 台 
主机 如 果 找 不 到 可 用 的 路 由 条 目 , 就 把 数据 包 
发 给 默认 网 关 , 由 默认 网 关 处 理 数据 包 。 现 在 
主机 使 用 的 网 关 一 般 都 是 指 默 认 网 关 。 
如 果 一 台 主 机 有 多 个 端口 ,并 为 每 个 端口 
配置 一 个 默认 网 关 , 那 么 默认 情况 下 TCP/IP 
图 5.5 Windows 操作 系统 里 的 默认 网 关 配 置 ”将 根据 端口 速度 自动 计算 端口 跃 点 数 。 此 端口 
跃 点 数 将 成 为 所 配置 的 默认 网 关 的 路 由 表 中 的 
默认 路 由 的 跃 点 数 。 最 高 速度 的 端口 具有 默认 路 由 的 最 低 路 点数 。 这 样 ,只 要 在 多 个 端口 
上 配置 多 个 默认 网 关 ,就 会 使 用 最 快速 度 的 端口 将 通信 转发 到 其 默认 网 关 。 
如 果 相 同 速度 的 多 个 端口 具有 相同 的 最 低 端 口 路 点数 ,那么 根据 绑 定 顺 序 ,将 使 用 第 一 
个 网 络 适配器 的 默认 网 关 。 如 果 第 一 个 网 络 适 配器 不 可 用 , 则 使 用 第 二 个 网 络 适 配器 的 默 
认 网 关 。 
在 TCP/IP 的 早期 版 本 中 ,多 个 默认 网 关 都 具有 设置 为 1 的 默认 路 由 跃 点 数 ,并 且 使 用 
的 默认 网 关 将 取决 于 端口 的 顺序 。 有 时 ,这 会 给 确定 TCP/IP 正在 使 用 哪 一 个 默认 网 关 带 
来 一 些 困难 。 
默认 情况 下 ,端口 跃 点 数 的 自动 确定 已 经 通过 “Internet 协议 (TCP/IP)” 高 级 属性 的 
"IP 设置 "选项 卡 上 的 “自动 路 点 数 ” 复 选 框 启用 。 可 以 禁用 端口 跃 点 数 的 自动 确定 并 输入 
新 的 端口 跃 点 数 。 
在 Windows 操作 系统 中 通过 route print 命令 查看 路 由 表 , 如 图 5.6 所 示 。 图 5.6 所 示 
的 路 由 表 中 ,第 一 行 显示 的 即 为 默认 网 关 的 相关 信息 。 
默认 路 由 在 某 些 情况 下 非常 有 效 , 当 存在 末梢 网 络 ( 网 络 的 边缘 , 即 一 个 只 有 一 条 出 路 
的 网 络 ,所 有 信息 只 有 一 个 出 口 , 最 靠近 用 户 的 终端 网 络 ) 时 ,默认 路 由 会 大 大 简化 路 由 器 的 
配置 ,减轻 管理 员 的 工作 负担 ,提高 网 络 性 能 。 默 认 路 由 也 可 以 配置 为 浮动 的 ,只 要 在 后 面 
加 上 适当 的 管理 距离 即 可 。 
在 如 图 5.7 所 示 的 网 络 中 ,3 台 路 由 器 连接 4 个 网 络 ,整个 网 络 IP 地 址 规划 见 表 5. 4。 
路 由 器 Router0 和 路 由 器 Router2 为 两 个 末梢 网 络 的 路 由 , 若 要 网 络 互联 互通 ,路 由 器 
Router0 除了 两 条 连接 网 络 192. 168. 1. 0 和 网 络 192. 168. 2. 0 的 直 连 路 由 外 ,还 需要 配置 
到 网 络 192. 168. 3. 0 以 及 网 络 192. 168. 4. 0 的 静态 路 由 ,路 由 器 Router2 除了 两 条 连接 网 
络 192. 168. 3. 0 和 网 络 192. 168. 4. 0 的 直 连 路 由 外 ,还 需要 配置 到 网 络 192. 168. 1. 0 以 及 
网 络 192. 168. 2.0 的 静态 路 由 。 


表 5.4 图 5.7 所 示 网 络 IP 地址 规划 
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[C:\Documents and Settings wMAdministrator?route print 


IPv4 Route Table 


~ MS TCP Loopback interface 
IntelCR) PRO/1088 MT Network Connection 


Metric 
10 

1 

10 

10 

10 

10 


Interface 
192.168.1. 
127.0.0. 
168.1. 
127.0.0. 
168.1. 
168.1. 


Gatevay 


127.8.8. 
168.1. 

127.8.0. 
168.1. 
168.1. 


255.255.255.8 
255.255.255.255 
255.255.255.255 
248.0.0.0 
255.255.255.255 
192.168.1.1 


192. 
-1.184 
192.168.1.255 
224.0.0.0 
255.255.255.255 
Default Gateway 


None 


[C:\Documents and Settings Administrator? 


图 5.6 Windows 操作 系统 中 显示 的 路 由 表 


Fa0/1 Fa0/0 
24 = _ 192.168.3.0/24 
” ON Sa 


192.168.2.0/24 


Router] 


Fa0/0 
”2811 


~ Fal, 
Fa0/1 


2811$, 


^ Router 


S 
192.168.1.0/24 7 Router2 \ 192.168.4.0/24 
N 


图 5.7 为 3 台 路 由 器 连接 4 个 网 络 情况 
设 备 端口 IP 地 址 T Ws 默认 网 关 
Fa0/0 192. 168. 1.1 255. 255. 255.0 
RO 
Fa0/1 192. 168. 2. 1 
Fa0/0 192. 168. 3. 1 255. 255. 255. 0 
R1 
Fa0/1 192. 168. 
Fa0/0 192.168.3.2 255. 255. 255.0 
R2 
Fa0/1 192.168. 4.1 255. 255. 255.0 
PCO 网 卡 192. 168. 1. 100 255. 255. 255. 0 192. 168. 1. 1 
PC1 网 卡 192. 168. 4. 100 255. 255. 255.0 192. 168. 4.1 
使 用 静态 路 由 实现 网 络 互联 互通 前 面 已 经 讲解 过 。 由 于 路 由 器 RouterO 和 路 由 器 
Router2 是 两 个 末梢 网 络 的 路 由 ,路 由 器 Router0 到 不 同 网 络 的 路 由 必定 通过 路 由 器 


Routerl 转发 ,也 就 是 下 一 跳 必 定 为 Routerl ,因此 可 以 在 路 由 器 Router0 上 配置 默认 路 由 ， 
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其 下 一 跳 为 Routerl ,这 一 条 默认 路 由 可 以 代替 前 面 提 到 的 到 网 络 192. 168. 3. 0 以 及 到 网 
络 192. 168. 4.0 的 两 条 静态 路 由 。 同 样 ,路 由 器 Router2 到 别 的 网 络 的 路 由 必定 通过 路 由 
器 Routerl 进行 转发 ,也 就 是 下 一 跳 必 定 指向 路 由 器 Routerl ,因此 在 路 由 器 Router2 上 配 
置 默 认 路 由 ,下 一 跳 指向 为 Routerl ,这样 ,一 条 默认 路 由 可 以 代替 前 面 提 到 的 到 网 络 192. 
168. 1. 0 以 及 到 网 络 192. 168. 2.0 的 两 条 静态 路 由 ,其 至 到 其 他 任何 不 同 网 络 的 路 由 均 通 
过 这 一 默认 路 由 进行 转发 ,具体 配置 过 程 如 下 。 

(1) 按照 表 5.4 为 3 个 路 由 器 端口 以 及 终端 计算 机 配置 地 址 。 

(2) 配置 Router0 默认 路 由 如 下 。 


Router0 (config)# ip route 0.0.0.0 0.0.0.0 192.168.2.2 
Router0 (config) # 


(3) 配置 路 由 器 Routerl 的 两 条 静态 路 由 。 


Routerl (config)# ip route 192.168.1.0 255.255.255.0 192.168.2.1 
Routerl (config)# ip route 192.168.4.0 255.255.255.0 192.168.3.2 
Router1 (config) # 


(4) 配置 路 由 器 Router2 的 默认 路 由 如 下 。 


Router? (config)fip route 0.0.0.0 0.0.0.0 192.168.3.1 
Router? (config) # 


(5) 分 别 查看 3 台 路 由 器 的 路 由 表 , 结 果 如 下 。 
CD 路 由 器 Router0 的 路 由 表 。 


Router0# show ip route 

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll - IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U - per-user static route, o -ODR 
P -periodic downloaded static route 

Gateway of last resort is 192.168.2.2 to network 0.0.0.0 

c 192.168.1.0/24 is directly connected, FastEthernet0/0 

g 192.168.2.0/24 is directly connected, FastEthernet0/1 

S*  0.0.0.0/0 [1/0] via 192.168.2.2 

Router0# 


其 中 “Sx ”0.0.0.0/0 [1/0] via 192. 168. 2. 2? 为 默认 路 由 信息 。 
© 路 由 器 Routerl 的 路 由 信息 如 下 。 


Routerl# show ip route 

Codes: C - connected, S - static, I — IGRP, R - RIP, M -mobile, B -BGP 
D —EIGRP, EX —EIGRP external, O —OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1l, E2 -OSPF external type 2, E -EGP 
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i -IS-IS, Ll -IS-IS level-1, L2 -IS-IS level-2, ia -IS-IS inter area 
* -candidate default, U -per-user static route, o -ODR 
P -periodic downloaded static route 

Gateway of last resort is not set 

S — 192.168.1.0/24 [1/0] via 192.168.2.1 

C  192.168.2.0/24 is directly connected, FastEthernet0/1 

C  192.168.3.0/24 is directly connected, FastEthernet0/0 

S 192.168.4.0/24 [1/0] via 192.168.3.2 

Routerl# 


结果 显示 两 条 直 连 路 由 以 及 两 条 静态 路 由 信息 。 
C 路 由 器 Router2 的 路 由 信息 如 下 。 


Router2# show ip route 

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U - per- user static route, o -ODR 
P -periodic downloaded static route 

Gateway of last resort is 192.168.3.1 to network 0.0.0.0 

c 192.168.3.0/24 is directly connected, FastEthernet0/0 

[o 192.168.4.0/24 is directly connected, FastEthernet0/1 

S*  0.0.0.0/0 [1/0] via 192.168.3.1 

Router2# 


结果 显示 两 条 直 连 路 由 以 及 一 条 默认 路 由 。 
(6) 最 后 测试 网 络 ,通过 ping 命令 测试 主机 PCO 到 PCI 的 连通 性 ,结果 如 下 。 


PC»ping 192.168.4.100 
Pinging 192.168.4.100 with 32 bytes of data: 
Reply from 192.168.4.100: bytes- 32 time- 125ms TTL-125 
Reply from 192.168.4.100: bytes- 32 time- 126ms TTL- 125 
Reply from 192.168.4.100: bytes-32 time= 125ms TTL-125 
Reply from 192.168.4.100: bytes-32 time- 109ms TTL-125 
Ping statistics for 192.168.4.100: 
Packets: Sent —4, Received =4, Lost =0 (0$10ss), 
Approximate round trip times in milli- seconds: 
Minimum —109ms, Maximum —126ms, Average —-121ms 
PC» 


测试 结果 表明 ,网络 是 联通 的 。 返 回 TTL 值 为 125 .表明 数据 包 经 过 了 3 个 路 由 。 
5.3 ”本章 小 结 


本 章 首先 讲解 了 常见 的 路 由 算法 种 类 、 静 态 路 由 工作 原理 及 配置 方法 ,动态 路 由 工作 原 
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理 , 距 离 矢 量 路 由 协议 工作 原理 和 链 路 状态 路 由 协议 工作 原理 ,接着 详细 讲解 了 直 连 路 由 工 
作 原 理 、 浮 动静 态 路 由 工作 原理 及 配置 方法 ,最 后 讲解 了 默认 路 由 工作 原理 及 配置 方法 。 


5.4 习题 
. 简 述 路 由 算法 分 类 。 
. 简 述 路 由 协议 分 类 。 


1 
2 
3. 什么 是 管理 距离 ”什么 是 度量 值 ? 
4. 什么 是 默认 路 由 ? 
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BoR 动态 路 由 技术 


本 章 学 习 目 标 

。 掌握 RIPvl 路 由 协议 的 工作 原理 及 配置 方法 
。 掌握 RIPv2 路 由 协议 的 工作 原理 及 配置 方法 
。 掌握 OSPF 路 由 协议 的 工作 原理 及 配置 方法 
。 掌握 EIGRP 路 由 协议 的 工作 原理 及 配置 方法 
。 掌握 OSPF 度量 值 的 计算 方法 

。 掌握 EIGRP 度量 值 的 计算 方法 


本 章 首先 讲解 动态 路 由 协议 RIPv1 的 工作 原理 及 配置 方法 ,接着 讲解 动态 路 由 协议 
RIPv2 的 工作 原理 及 配置 方法 动态 路 由 协议 OSPF 的 工作 原理 及 配置 方法 以 及 动态 路 由 
协议 EIGRP 的 工作 原理 及 配置 方法 ,最 后 讲解 动态 路 由 协议 OSPF 及 动态 路 由 协议 
EIGRP 度量 值 的 计算 方法 。 


6.1 RIP 路 由 技术 


6.1.1 RIP 路 由 简介 


路 由 信息 协议 (Routing Information Protocol. RIP) 是 基于 距离 矢量 算法 的 路 由 协议 ， 
它 利用 跳 数 作为 计量 标准 。 目 前 ,RIP 的 版 本 有 RIPv1、RIPv2 及 RIPng,RIPv1 fl RIPv2 
适用 于 IPv4 网 络 ,RIPng 适用 于 IPv6 网 络 。 

Xerox 公司 和 加 州 大 学 伯克利 分 校 在 20 世纪 80 年 代 初 开发 了 RIP 的 早期 版 本 。1988 
年 的 RFC1058 对 RIP 做 了 说 明 , 形 成 RIPv1; 1998 年 ,国际 互联 网 工程 任务 组 (The 
Internet Engineering Task Force. IETF) Hë i T RIP. 改进 版 本 的 正式 标准 RFC2453, 即 
RIPv2;1997 年 ,IETF 推出 了 下 一 代 RIP 一 一 RIPng, 它 的 建议 标准 为 RFC2080。 

1. RIP 工作 原理 

RIP 属于 内 部 网 关 协 议 , 适 用 于 小 型 网 络 一 个 自治 系统 内 的 路 由 信息 的 传递 。RIP 基 
于 距离 矢量 算法 (Distance Vector Algorithms,DVA)。 它 用 “ 跳 数 ”衡量 到 达 目 的 地 的 路 由 
距离 , 即 度量 值 。 

RIP 基于 Bellham-Ford 算法 ,在 路 由 实现 时 ,RIP 作为 系统 长 驻 进程 而 存在 于 路 由 器 
中 ,负责 从 网 络 系统 的 其 他 路 由 器 接收 路 由 信息 ,从 而 对 本 地 IP. 层 路 由 表 作 动态 维护 ,保证 
IP 层 发 送 报 文 时 选择 正确 的 路 由 。 每 台 路 由 器 负责 将 本 路 由 器 的 路 由 信息 通知 给 相 邻 路 
由 器 , 相 邻 路 由 器 依据 传送 来 的 路 由 器 信息 对 自己 的 路 由 信息 做 相应 的 修改 。RIP 处 于 
UDP 的 上 层 ,RIP 所 接收 的 路 由 信息 都 封装 在 UDP 的 数据 报 中 ,RIP 利用 520 号 UDP 端 
口 接收 来 自 远程 路 由 器 的 路 由 修改 信息 .并 对 本 地 的 路 由 表 做 相应 的 修改 ,同时 通知 其 他 路 
由 器 。 通 过 这 种 方式 使 每 个 路 由 器 形成 完整 的 路 由 条 目 。 
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距离 矢量 路 由 协议 是 比较 早 的 路 由 协议 ,用 来 帮助 路 由 设备 决定 去 往 呈 现在 拓扑 中 的 
网 络 路 径 。 通 过 使 用 Bellman-Ford 算法 ,距离 矢量 路 由 协议 在 邻接 的 数据 链 路 上 周期 性 地 
向 直 连 邻居 广播 包含 整个 路 由 表 的 路 由 更 新 信息 ,而 不 管 网 络 是 否 发 生 了 拓扑 改变 。 当 那 
些 设备 接收 到 此 更 新 之 后 ,它们 就 将 它 与 其 现 有 的 路 由 表 信 息 进 行 比较 。 

对 每 一 个 相 邻 路 由 器 发 送 过 来 的 RIP 报 文 ,依据 Bellman-Ford 算法 ,路 由 器 都 要 进行 
以 下 处 理 步 又 。 

CD 对 地 址 为 X 的 相 邻 路 由 器 发 来 的 RIP 报 文 , 先 修改 此 报 文中 的 所 有 项 目 : 把 “下 一 
跳 ” 字 段 中 的 地 址 都 改 为 X, 并 把 所 有 的 “距离 ”字段 的 值 加 1。 这 样 做 是 为 了 便于 进行 本 路 
由 表 的 更 新 。 假 设 从 位 于 地 址 为 X 的 相 邻 路 由 器 发 来 的 RIP 报 文 的 某 一 个 项 目 是 :“ 网 络 
2,3,Y”( 表 示 到 目标 网 络 2, 下 一 跳 为 Y, 经 过 3 跳 到 达 ) ,那么 本 路 由 器 就 可 以 推断 出 “我 经 
xt X 到 网 络 2 的 距离 应 该 为 3 十 1 二 4”, 于 是 ,本 路 由 器 就 把 收 到 的 RIP 报 文 的 这 一 个 项 目 
修改 为 "网络 2,4,x”, 作 为 下 一 步 和 路 由 表 中 原 有 项 目 进行 比较 时 使 用 (只 有 比较 后 ,才能 
知道 是 否 需要 更 新 )。 每 一 个 项 目 都 有 3 个 关键 数据 , 即 目 的 网 络 N、 距 离 d、 下 一 跳 路 由 
dX. 

(2) 对 修改 后 的 RIP 报 文中 的 每 一 个 项 目 进行 以 下 处 理 。 

若 原来 的 路 由 表 中 没有 到 达 目 的 网 络 N 的 路 由 条 目 , 则 把 该 项 目 直接 添加 到 路 由 表 
中 ;说 明 原 来 没有 到 该 网 络 的 路 由 ,现在 邻居 告诉 我 到 该 网 络 的 路 由 ,我 应 当 直 接 把 该 路 由 
信息 加 入 路 由 表 中 ;否则 ( 即 在 路 由 表 中 有 目的 网 络 N, 这 时 再 查看 下 一 条 路 由 器 地 址 ) 若 下 
一 跳 路 由 器 地 址 也 是 义 , 则 把 收 到 的 项 目 蔡 换 成 原 路 由 表 中 的 项 目 。 原 因 是 ,同样 的 下 一 跳 
地 址 ,目前 的 路 由 信息 应 该 是 最 新 的 ,我 们 要 以 最 新 的 路 由 信息 为 准 ,所 以 要 进行 替换 。 此 
时 到 目的 网 络 的 距离 有 可 能 增 大 或 减少 ,但 也 可 能 没有 改变 ;否则 ( 即 这 个 项 目 是 : 到 目的 
网 络 N, 但 下 一 跳 路 由 器 不 是 X) ,在 这 样 的 情况 下 , 若 收 到 的 项 目 中 的 距离 d 小 于 路 由 表 中 
已 有 的 距离 , 则 进行 更 新 路 由 信息 ,说 明 通 过 新 的 下 一 跳 找 到 更 短 的 、 更 优 的 路 径 , 否 则 什么 
也 不 做 。 若 距离 更 大 了 ,显然 更 不 应 该 更 新 ,目前 已 有 的 路 径 是 优 于 更 新 的 路 径 。 若 距离 不 
变 , 则 更 新 后 得 不 到 任何 好 处 ,因此 也 不 更 新 。 

(3) 若 3 分 钟 还 没有 收 到 相 邻 路 由 器 的 更 新 路 由 表 , 则 说 明 该 路 由 器 出 了 故障 ,不 能 正 
常 工作 ,因此 把 该 相 邻 路 由 器 记 为 不 可 达 的 路 由 器 , 即 把 距离 置 为 16( 距 离 为 16 表示 不 
可 达 ) 。 

2. RIPv1 路 由 协议 

RIPv1 属于 有 类 路 由 协议 ,定义 在 [RFC 1058] 中 。 在 它 的 路 由 更 新 (routing updates) 
中 并 不 带 有 子 网 的 信息 , 它 不 支持 可 变 长 子 网 掩 码 (VLSM) 和 无 类 别 域 间 路 由 CCIDR)。 这 
个 限制 造成 在 RIPvI 的 网 络 中 ,无 法 使 用 不 同 的 子 网 掩 码 。 另 外 , 它 以 广播 的 形式 发 送 报 
文 , 它 也 不 支持 对 路 由 过 程 的 认证 ,使 得 RIPvl 有 被 攻击 的 可 能 。 

RIPv1 的 特点 如 下 。 

CD 数据 包 中 不 包含 子 网 掩 码 ,所 以 就 要 求 网 络 中 的 所 有 设备 必须 使 用 相同 的 子 网 掩 
码 ,否则 就 会 出 错 。 

(2) 发 送 数据 包 的 目的 地 址 使 用 的 是 广播 地 址 。 

(3) 不 支持 路 由 器 之 间 的 认证 。 
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3. RIPv2 路 由 协议 

因为 RIPv1 缺陷 ,所 以 RIPv2 在 1994 年 被 提出 。RIPv2 为 无 类 别 路 由 协议 ,将 子 网 的 
信息 包含 在 内 ,通过 这 样 的 方式 提供 无 类 域 间 路 由 , 它 支持 VLSM、 路 由 聚合 与 CIDR ,并 支 
持 以 广播 或 组 播 (224. 0. 0. 9) 方 式 发 送 报 文 。 另 外 ,针对 安全 性 问题 ,RIPv2 也 提供 了 一 套 
方法 , 即 通 过 加 密 达 到 认证 的 效果 ,支持 明文 认证 ,而 之 后 [RFC 2082] 也 定义 了 利用 MD5 
达到 认证 的 方法 。RIPv2 的 相关 规定 见 [RFC 2453]. 

如 今 的 IPv4 网 络 中 使 用 的 基本 是 RIPv2. RIPv2 在 RIPv1 的 基础 上 进行 了 改进 。 
RIPv2 支持 不 连续 子 网 ,支持 验证 ,手动 汇 总 等 。 下 面 比较 RIPv2 与 RIPv1 的 相同 点 和 不 
同 点 。 

RIPv2 与 RIPv1 的 相同 点 如 下 。 

(1) 都 是 用 跳 数 作为 度量 值 ,最 大 值 为 15。 

(2) 都 是 距离 矢量 路 由 协议 。 

(3) 容易 产生 环 路 ,可 以 使 用 最 大 跳 计 数 、 水 平分 割 .触发 更 新 .路 由 中 毒 和 抑制 计时 器 
防止 路 由 环 路 。 

(4) 同样 是 周期 更 新 ,默认 每 30 秒 发 送 一 次 路 由 更 新 。 

RIPv2 的 增强 特性 有 如 下 5 方面 。 

CD 在 路 由 更 新 中 携带 有 子 网 掩 码 的 路 由 选择 信息 ,因此 支持 VLSM 和 CIDR, 

(2) 提供 身份 验证 功能 ,路 由 器 之 间 通 过 明文 或 者 MD5 认证 ,只 是 认证 通过 , 才 可 以 进 
行路 由 同步 ,因此 安全 性 更 高 。 

(3) 下 一 跳 路 由 器 的 TP 地 址 包含 在 路 由 更 新 信息 中 。 

COD 运用 组 播 地 址 224. 0. 0. 9 代替 RIPv1 的 广播 更 新 。 

(5) 支持 手动 汇总 。 

RIPv1 和 RIPv2 对 比 情况 见 表 6. 1。 

表 6.1 RIPvl 和 RIPv2 对 比 情况 


版 本 | 类 型 | 对 VLSM 支持 情况 | 对 CIDR 支持 情况 | 报 文 发 送 情况 支持 认证 情况 


RIPv1 有 类 不 支持 不 支持 广播 不 支持 
RIPv2 无 类 支持 支持 广播 或 组 播 明文 或 MD5 认证 
4. RIP 配置 过 程 


配置 RIP 比较 简单 ,主要 包含 两 条 基本 命令 。 


Router (config)# router rip 


Router (config- router)# network 


第 一 条 命令 为 启动 路 由 选择 协议 RIP. 第 二 条 指定 哪些 端口 参与 路 由 选择 进程 。 默认 
情况 下 ,没有 任何 端口 参与 。 要 指定 哪些 端口 参与 ,可 使 用 network 命令 。 对 于 距离 向 量 协 
议 (RIP) ,无 论 是 RIPv1, 还 是 RIPv2. 只 需要 输入 与 端口 相关 的 A、B 或 C 类 网 络 号 ,尽管 端 
口 有 时 进行 了 子 网 划分 ,使 用 子 网 网 络 地 址 下 的 地 址 ,在 进行 RIP 动态 路 由 配置 时 ， 
network 下 使 用 的 仍然 是 主 类 网 络 地 址 , 即 标准 的 A.B 及 C 类 地 址 。 
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5. RIP 计时 器 

RIP 使 用 4 种 计时 器 管理 性 能 。 

1) 路 由 更 新 计时 器 

在 RIP 启动 之 后 ,每 30s 向 启用 了 RIP 的 端口 发 送 自己 的 除了 被 水 平分 割 (split 
horizon) 抑 制 的 路 由 选择 表 的 完整 副本 给 所 有 相 邻 路 由 器 的 时 间 间 隔 。 

2) 路 由 失效 计时 器 

路 由 失效 计时 器 用 于 路 由 器 在 最 终 认定 一 个 路 由 为 无 效 路 由 之 前 需要 等 待 的 时 长 ( 通 
常 为 180s)。 如 果 在 这 个 认定 等 待 时 间 内 ,路 由 器 没有 得 到 任何 关于 特定 路 由 的 更 新 消息 ， 
则 将 该 路 由 的 度量 设置 为 16, 路 由 表 项 将 被 记 为 “X. X. X. X is possibly down”, 路 由 器 将 认 
定 这 个 路 由 失效 。 在 清除 计时 器 超时 以 前 ,该 路 由 仍 将 保留 在 路 由 表 中 ,RIP 路 由 仍然 转 
发 数据 包 , 出 现 这 一 情况 时 ,路 由 器 会 给 所 有 相 邻 设备 发 送 关 于 此 路 由 已 经 无 效 的 更 新 。 

3) 抑制 计时 器 

抑制 计时 器 用 于 稳定 路 由 信息 ,并 有 助 于 在 拓扑 结构 根据 新 信息 收敛 的 过 程 中 防止 路 
由 环 路 。 当 路 由 器 接收 到 某 个 路 由 不 可 达 的 更 新 分 组 时 , 它 处 于 抑制 状态 , 且 时 间 必 须 足够 
长 ,以 便 拓 扑 结构 中 所 有 路 由 器 能 在 此 期 间 获 得 该 不 可 达 网 络 信 息 。 这 一 保持 状态 将 抑制 
持续 到 路 由 器 接收 到 具有 更 好 度量 的 更 新 分 组 ,或 初始 路 由 恢复 正常 ,或 保持 抑制 计时 器 
期 ,直到 计数 满 为 止 。 默 认 情 况 下 ,该 计时 器 的 取 值 为 180s。 

4) 路 由 刷新 计时 器 

路 由 刷新 计时 器 用 于 设置 将 某 个 路 由 认定 为 无 效 路 由 起 只 将 它 从 路 由 选择 表 中 删除 
的 时 间 间 隔 (通常 为 240s) ,这 个 时 间 间 隔 比 无 效 计 时 器 长 60s, 当 清除 计时 器 超时 后 ,该 
路 由 将 从 路 由 表 中 删除 。 在 将 此 路 由 从 路 由 表 中 删除 之 前 ,路 由 器 会 将 此 路 由 即将 消亡 
的 消息 通告 给 相 邻 设备 。 路 由 失效 定时 器 的 取 值 一 定 要 小 于 路 由 刷新 计时 器 的 值 。 这 
就 为 路 由 器 在 更 新 本 地 路 由 选择 表 时 先 将 这 一 无 效 路 由 通告 给 相 邻 设备 保留 了 足够 的 
时 间 。 

这 4 种 定时 器 的 具体 工作 过 程 如 下 。 

(1) 一 台 路 由 器 从 接收 到 邻居 发 来 的 路 由 更 新 包 开 始 , 计 时 器 会 重 置 为 0s, 并 重新 计 
时 。RIP 路 由 器 总 是 每 隔 30s 通告 UDP520 端口 以 RIP 广播 应 答 方式 向 邻居 路 由 器 发 送 一 
个 路 由 更 新 包 。 

(2) 如 果 路 由 器 30s 还 没有 收 到 邻居 发 来 的 相关 路 由 更 新 包 , 则 更 新 计时 器 超时 。 如 
果 再 过 150s, 达 到 180s 还 没有 收 到 路 由 更 新 包 , 失 效 计 时 器 开始 计数 。 然 后 路 由 器 将 邻居 
路 由 器 的 相应 路 由 条 目标 记 为 “possibly down"; 

(3) 失效 计时 器 到 时 ,立刻 进入 180s 的 抑制 计时 器 。 

(4) 如 果 在 抑制 期 间 从 任何 相 邻 路 由 器 接收 到 含有 更 小 度量 的 有 关 网 络 的 更 新 , 则 恢 
复 该 网 络 并 删除 抑制 计时 器 。 如 果 在 抑制 期 间 从 相 邻 路 由 器 收 到 的 更 新 包含 的 度量 与 之 前 
相同 或 更 大 , 则 该 更 新 将 被 忽略 。 

(5) 失效 计时 器 到 时 ,再 过 60s, 达 到 240s 的 刷新 计时 器 , 若 还 没有 收 到 路 由 更 新 包 , 路 
由 器 就 刷新 路 由 表 , 把 不 可 达 的 路 由 条 目 删 掉 。 

(6) 当 路 由 器 处 于 抑制 周期 内 , 它 依 旧 用 于 向 前 转发 数据 。 
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6.1.2 RIP 避免 路 由 环 路 技术 


1. 路 由 环 路 

在 维护 路 由 表 信 息 的 时 候 , 如 果 在 拓扑 发 送 改变 后 ,网 络 收敛 缓慢 产生 了 不 协调 或 者 矛 
盾 的 路 由 选择 条 目 ,就 会 发 生路 由 环 路 问题 ,这 种 情况 下 ,路 由 器 对 无 法 到 达 的 网 络 路 由 不 
予 理 昭 ,导致 用 户 数 据 包 不 停 地 在 网 络 上 循环 发 送 , 最 终 造成 网 络 资源 的 严重 浪费 。 

2. RIP 路 由 环 路 产生 场景 

如 图 6.1 所 示 , 当 A 路 由 器 一 侧 的 X 网 络 发 生 故 障 , 则 A 路 由 器 收 到 故障 信息 ,并 把 
X 网 络 设置 为 不 可 达 , 等 待 更 新 周期 通知 相 邻 的 B 路 由 器 。 但 是 , 相 邻 的 B 路 由 器 的 更 新 
周期 先 来 了 , 则 A 路 由 器 将 从 B 路 由 器 那里 学 习 到 的 X 网 络 的 路 由 就 是 错误 的 路 由 ,因为 
此 时 的 X 网 络 已 经 损坏 ,而 A 路 由 器 却 在 自己 的 路 由 表 内 增加 了 一 条 经 过 B 路 由 器 到 达 X 
网 络 的 路 由 。 然 后 ,A 路 由 器 还 会 继续 把 该 错误 路 由 通过 给 B 路 由 器 ,由 于 B 路 由 器 原先 
到 达 X 网 络 的 下 一 跳 是 A 路 由 器 ,现在 A 路 由 器 发 同样 目的 地 的 路 由 给 B 路 由 器 ,尽管 代 
价 高 了 ,但 这 是 最 新 的 路 由 信息 ,因此 B 路 由 器 更 新 路 由 表 , 认 为 到 达 X 网 络 须 经 过 A 路 由 
器 ,A 路 由 器 认为 到 达 X 网 络 须 经 过 BB 路 由 器 ,而 B 则 认为 到 达 X 网 络 须 经 过 A 路 由 器 ， 
至 此 路 由 环 路 形成 。 


2811 2811 
图 6.1 环 路 形成 场景 图 


3. RIP 中 对 路 由 环 路 的 解决 方案 

1) 设置 最 大 跳 数 

路 由 环 路 问题 导致 无 穷 计数 问题 , 若 对 此 不 进行 干预 ,那么 分 组 每 通过 一 个 路 由 器 ,其 
跳 数 就 会 增长 。 解 决 这 个 问题 的 一 个 方式 是 定义 一 个 有 限 的 跳 数 防止 环 路 , RIP 最 多 
15 跳 ,16 跳 为 无 穷 大 , 即 经 过 16 跳 才 能 到 达 的 网 络 都 被 认为 是 不 可 达 的 ,因此 最 大 跳 数 可 
控制 路 由 选择 表 的 表 项 在 达到 一 个 数值 后 变 为 无 效 的 或 不 可 信 的 。 

2) 水 平分 害 

所 谓 水 平分 割 , 是 指 不 把 从 一 个 来 源 处 学 到 的 路 由 再 回 送 给 这 个 来 源 , 即 禁止 路 由 选择 
协议 回 传 路 由 选择 信息 ,如 果 路 由 器 从 一 个 端口 已 经 收 到 路 由 更 新 信息 ,那么 这 个 同样 的 更 
新 信息 一 定 不 能 再 通过 这 个 端口 回 送 过 去 。 图 6. 1 中 ,X 网 络 故障 后 ,由 于 路 由 器 B 的 
X 网 段 信息 是 从 路 由 器 A 获得 的 ,因此 路 由 器 B 不 会 将 X 网 段 信 息 再 通过 路 由 器 端口 F0/0 
发 回 给 路 由 器 A, 这 就 是 水 平分 割 , 通 过 水 平分 割 可 以 避免 路 由 环 路 发 生 。 

3) 路 由 中 毒 

路 由 中 毒 也 称 路 由 毒化 , 它 可 以 避免 因 更 新 不 一 致 而 导致 的 路 由 环 路 问题 。 设 置 最 大 
跳 数 在 一 定 程度 上 解决 了 环 路 问题 ,但 并 不 彻底 ,在 到 达 最 大 值 之 前 ,路 由 环 路 还 是 存在 的 。 
路 由 中 毒 可 以 彻底 解决 这 个 问题 。 图 6. 1 中 ,X 网 络 出 现 故障 无 法 访问 时 ,路 由 器 A 立即 
向 邻居 路 由 发 送 相关 路 由 更 新 信息 ,路 由 器 A 立即 将 X 网 络 度 量 值 标记 为 16 或 不 可 达 ( 有 
时 也 被 视 为 无 穷 大 ) ,以 此 启动 路 由 中 毒 。 路 由 器 A 将 毒化 信息 告诉 它 的 邻居 路 由 器 B, 
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由 器 B 收 到 毒化 消息 后 将 该 链 路 路 由 表 项 标记 为 无 穷 大 ,表示 该 路 径 已 经 失效 ,并 向 别 的 
路 由 器 通告 ,以 此 毒化 各 个 路 由 器 ,告诉 邻居 X 网 络 已 经 失效 ,从 而 避免 了 路 由 环 路 。 

4) TTE SG 

为 了 防止 在 同一 端口 上 接收 到 包含 相同 中 毒 路 由 的 更 新 所 采用 的 中 毒 路 由 广播 策 
略 , 当 一 条 路 径 信息 变 为 无 效 之 后 ,路 由 器 并 不 立即 将 它 从 路 由 表 中 删除 ,将 其 度量 值 设 
置 为 16 将 它 广播 出 去 ,虽然 增加 了 路 由 表 的 大 小 ,但 可 以 立即 清除 相 邻 路 由 器 之 间 的 任 
何 环 路 。 

5) 控制 更 新 时 间 

控制 更 新 时 间 即 抑制 计时 器 ,用 于 阻止 定期 更 新 的 消息 在 不 恰当 的 时 间 内 重 置 一 个 已 
经 坏 掉 的 路 由 。 抑 制 计 时 器 把 可 能 影响 路 由 的 任何 改变 暂时 保持 一 段 时 间 。 抑 制 时 间 通 常 
比 更 新 信息 发 送 到 整个 网 络 的 时 间 要 长 。 当 路 由 器 从 邻居 接收 到 以 前 能 够 访问 的 网 络 现在 
不 能 访问 的 更 新 后 ,就 将 该 路 由 标记 为 不 可 访问 ,并 启动 一 个 抑制 计时 器 ,如 果 再 次 收 到 从 
邻居 发 送 来 的 更 新 信息 中 包含 一 个 比 原来 路 径 具 有 更 好 度量 值 的 路 由 ,就 标记 为 可 以 访问 ， 
并 取消 抑制 计时 器 。 如 果 在 抑制 计时 器 超时 之 前 从 不 同 邻居 收 到 的 更 新 信息 包含 的 度量 值 
比 以 前 的 更 差 ,更 新 将 被 忽略 ,这样 可 以 有 充裕 的 时 间 让 更 新 信息 传 遍 整个 网 络 。 

6) 触发 更 新 

正常 情况 下 ,路 由 器 会 定期 将 路 由 表 发 送 给 邻居 路 由 器 ,而 触发 更 新 就 是 立刻 发 送 路 由 
更 新 信息 ,以 响应 某 些 变化 。 检 测 到 网 络 故障 的 路 由 器 会 立即 发 送 一 个 更 新 信息 给 邻居 路 
由 器 ,并 依次 产生 触发 更 新 通知 它们 的 邻居 路 由 器 ,使 整个 网 络 上 的 路 由 器 在 最 短 的 时 间 内 
收 到 更 新 信息 ,从 而 快速 了 解 整个 网 络 的 变化 。 这 样 也 有 问题 存在 ,有 可 能 包含 更 新 信息 的 
数据 包 被 某 些 网 络 中 的 链 路 丢失 或 损坏 ,其 他 路 由 器 没 能 及 时 收 到 触发 更 新 。 抑 制 规则 要 
求 一 旦 路 由 无 效 , 在 抑制 时 间 内 ,到 达 同 一 目的 地 有 同样 或 更 差 度量 值 的 路 由 将 会 被 忽略 ， 
这 样 触发 更 新 将 有 时 间 传 遍 整 个 网 络 , 从 而 避免 了 已 经 损坏 的 路 由 重新 插入 已 经 收 到 触发 
更 新 的 邻居 中 ,也 就 解决 了 路 由 环 路 的 问题 。 


6.1.3  RIPvI 配置 


1. RIP 基本 配置 
实现 动态 路 由 协议 RIPV1 网 络 拓扑 结构 图 如 图 6. 2 所 示 ,两 台 路 由 器 连接 3 个 网 络 ， 
分 别 为 192. 168. 1, 0/24,192. 168. 2. 0/24.192. 168. 3. 0/24。 具 体 IP 地 址 配置 见 表 6. 2。 


Fa0/1 192.168.2.0/24 
---2------- EI 
A 20/0 
s 


Fa0/0 » 2811 2811 
vit RI ROM 
192.168.1.0/24 ,^ SS J92.168.3.0/24 
7 
vd EN 
^ X 

-— . -3 
=~, "T 
PC-PT PC-PT 

PCO PCI 


图 6.2 实现 动态 路 由 协议 RIPv1 网 络 拓扑 结构 图 


56.2 IP 地址 配置 
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设 备 端口 IP 地 Wb 子 网 掩 码 默认 网 关 
Fa0/0 192.168.1.1 255. 255. 255.0 
R1 
Fa0/1 192. 168. 2. 1 255. 255. 255. 0 
Fa0/0 192. 168. 3. 1 255. 255. 255. 0 
R2 
Fa0/1 192. 168. 2. 2 255. 255. 255. 0 
PCO 网 卡 192. 168. 1. 100 255. 255. 255. 0 192. 168. 1. 1 
PC1 网 卡 192. 168. 3. 100 255. 255. 255. 0 192.168.3.1 
首先 配置 路 由 器 R1, 基 本 配置 如 下 。 
Router (config)#hostname R1 // 路 由 器 命名 
R1 (config)# interface fastEthernet 0/0 // 进 入 路 由 器 Fa0/0 端 口 
R1 (config- if)#ip address 192.168.1.1 255.255.255.0 // 配 置 端口 TP 地 址 
R1 (config- if)#no shu // 激 活 端口 
Rl (config-if)fexit // 退 出 


Rl (config)# interface fastEthernet 0/1 
Rl (config- if)# ip address 192.168.2.1 255.255.255.0 
R1(config- if)#no shu 


其 次 配置 路 由 器 R2, 基 本 配置 如 下 。 


Router (config)#hostname R2 

R2 (config)# interface fastEthernet 0/0 

R2 (config- if)# ip address 192.168.3.1 255.255.255.0 
R2 (config- if)#no shu 

R2(config-if)fexit 

R2 (config)f interface fastEthernet 0/1 

R2 (config- if)# ip address 192.168.2.2 255.255.255.0 
R2 (config- if)$ no shu 


// 进 入 端口 Fa0/1 
// 配 置 端口 TP 地 址 
// 激 活 端口 


// 路 由 器 命名 
// 进 入 端口 Fa0/0 
// 配 置 端口 ITP 地 址 
// 激 活 端口 

// 退 出 

// 进 入 端口 Fa0/1 
// 端 口 配置 TP 地 址 
// 激 活 端口 


接着 对 两 台 路 由 器 配置 动态 路 由 协议 RIPv1。 下 面 对 路 由 器 RI 配置 动态 路 由 协议 


RIPv1l 。 


R1 (config)# router rip 


Rl (config- router)# network 192.168.1.0 


//RL 启 用 动态 路 由 协议 RIP 


// 宣 告 RIP 要 通告 的 网 络 , 在 该 网 络 端口 上 启用 RIP 进程 


R1 (config- router)#network 192.168.2.0 


// 宣 告 RTP 要 通告 的 网 络 ,在 该 网 络 端口 上 启用 RIP 进程 


R1 (config- router) # 


命令 network 告诉 路 由 选择 协议 RIP 该 通告 哪些 分 类 网 络 ,将 在 哪些 端口 上 启用 RIP 
路 由 选择 进程 。 使 用 network 命令 时 ,网 络 号 应 是 路 由 器 直 连 端口 的 主 网 络 号 ,Rl 路 由 器 
直 连 网 络 192. 168. 1. 0/24 的 主 网 络 号 是 192. 168. 1. 0, 直 连 网 络 192. 168. 2. 0/24 的 主 网 


络 号 是 192. 168. 2.0. 
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再 对 路 由 器 R2 配置 动态 路 由 协议 RIPvl 。 


R2 (config)f router rip / [71 启用 动态 路 由 协议 RIP 
R2 (config- router)# network 192.168.2.0 

// 宣 告 RIP 要 通告 的 网 络 , 在 该 网 络 端口 上 启用 RIP 进程 
R2 (config- router)#network 192.168.3.0 


// 宣 告 RIP 要 通告 的 网 络 ,在 该 网 络 端口 上 启用 RIP 进程 
查看 路 由 器 RI 的 路 由 表 。 


Rl# show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll - IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U -per- user static route, o -ODR 
P -periodic downloaded static route 
Gateway of last resort is not set 
e 192.168.1.0/24 is directly connected, FastEthernet0/0 
© 192.168.2.0/24 is directly connected, FastEthernet0/1 
R 192.168.3.0/24 [120/1] via 192.168.2.2, 00:00:12, FastEthernet0/1 
Rl# 


其 中 “R” 表 示 该 路 由 条 目 是 由 动态 路 由 协议 RIP 获得 的 ,[120/1] 中 的 “120? 表 示 管 理 
距离 为 120, 这 是 动态 路 由 协议 RIP 的 管理 距离 ,该 值 固 定 为 120;“1” 表 示 度 量 值 ,RIP 以 跳 
数 作为 度量 值 , 说 明 该 路 由 器 需要 经 过 1 跳 到 达 网 络 192. 168. 3.0。 结 果 与 实际 相符 。 

查看 路 由 器 R2 的 路 由 表 。 


R2# show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U -per-user static route, o -ODR 
P -periodic downloaded static route 
Gateway of last resort is not set 
R 192.168.1.0/24 [120/1] via 192.168.2.1, 00:00:13, FastEthernet0/1 
c 192.168.2.0/24 is directly connected, FastEthernet0/1 
c 192.168.3.0/24 is directly connected, FastEthernet0/0 
R2 


综 上 ,两 台 路 由 器 的 路 由 表 是 全 的 ,因此 网 络 应 该 是 联通 的 ,说 明 通 过 动态 路 由 协议 
RIPv1 实现 了 网 络 的 连通 性 。 

2. RIPvI 发 送 路 由 更 新 和 接收 路 由 更 新 规则 

RIPv1 属于 有 类 路 由 协议 。 有 类 路 由 协议 的 特点 是 传输 报 文中 不 携带 掩 码 信息 ,但 是 
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作为 路 由 器 ,肯定 是 要 通过 路 由 的 前 缀 信息 和 掩 码 判 断 一 个 网 络 。RIPv1l 的 报 文中 并 未 携 
带 任何 掩 码 信息 。 

RIPv1 发 送 路 由 更 新 的 规则 为 : 将 要 发 送 的 网 段 信 息 与 出 端口 是 否 为 同一 主 网 段 ? 

若是 同一 主 网 段 , 则 查看 子 网 掩 码 是 否 相 同 ? 车 子 网 掩 码 相同 , 则 发 送 子 网 路 由 信息 ; 
车 子 网 掩 码 不 相同 , 则 丢弃 。 

若 不 是 同一 主 网 段 , 则 发 送 该 路 由 的 汇总 路 由 。 

RIPv1 接收 路 由 更 新 的 规则 为 : 接收 路 由 信息 是 否 与 人 端口 属于 同一 主 网 段 ? 

若是 同一 主 网 段 , 则 查看 子 网 掩 码 是 否 相 同 ? 车 子 网 拖 码 相同 , 则 接收 ;车子 网 掩 码 不 
同 , 同 样 接收 ,但 将 子 网 掩 码 改 为 人 端口 的 子 网 掩 码 。 

若 不 是 同一 主 网 段 ,如果 自 身 路 由 表 中 有 了 该 路 由 的 子 网 路 由 , 则 不 接收 路 由 更 新 , 若 
存在 同样 的 主 类 路 由 , 则 作为 负载 均衡 添加 路 由 信息 。 对 于 自身 路 由 表 中 没有 该 路 由 的 子 
网 路 由 , 则 更 新 路 由 。 

注意 : 对 于 32 位 的 主机 路 由 ,都 要 无 条 件 地 发 送 和 接收 。 

如 图 6. 3 所 示 ,RIPvl 协议 中 ,发 送 路 由 更 新 的 规则 为 : 加 入 RIPv1 路 由 协议 的 其 他 直 
连 端口 (如 图 6. 3 所 示 的 Loopback 口 ) 与 出 端口 (如 图 6. 3 所 示 的 路 由 器 RI 的 Fa0/0 FD 
的 主 类 网 络 号 进行 对 比 ,如 果 主 类 网 络 号 相同 且 掩 码 相同 , 则 发 送 网 络 细节 ,如 果 不 同 , 则 发 
汇总 。 具 体 分 析 过 程 如 下 。 


Loopback 0 1.1.1.1/24 Fa0/0172.16.10.1/24 Fa0/0172.16.10.2/24 
Loopback 1 172.16.20.1/24 "——————— . 
Loopback 2 192.168.10.1/24 
Loopback 3 182.15.30.1/24 2811 2811 
RI R2 


图 6.3 RIPvl 路 由 自动 汇总 网 络 拓扑 图 


(1) 首先 判断 端口 接受 的 路 由 与 接受 端口 配置 的 IP 地 址 是 否 处 于 同一 个 主 类 网 。 

(2) 如 果 处 于 同一 个 主 类 网 , 则 查看 子 网 掩 码 是 否 相 同 ? 车 子 网 掩 码 相同 , 则 发 送 更 
新 ;车子 网 掩 码 不 同 , 则 不 发 送 更 新 。 

(3) 如 果 不 处 于 同一 主 类 网 络 , 则 发 送 汇总 路 由 。 

如 图 6.3 所 示 ,首先 将 RI 上 将 要 发 送 网 段 信 息 的 IP 地 址 都 转 成 主 类 网 络 号 ,具体 
如 下 。 


Loopback 0 主 类 网 络 号 为 1.0.0.0 
Loopback 1 主 类 网 络 号 为 172.16.0.0 
Loopback 2 主 类 网 络 号 为 192.168.10.0 
Loopback 3 主 类 网 络 号 为 182.15.0.0 


对 比 所 有 的 Loopback 口 与 Fa0/0 口 ,发 现 只 有 Loopbackl 口 的 主 类 网 络 号 和 Fa0/0 
口 的 主 类 网 络 号 一 样 。 另 外 ,它们 的 子 网 掩 码 也 是 相同 的 ,因此 发 送 子 网 路 由 信息 ,其 他 的 
环 回 口 都 发 送 汇总 信息 。 从 Fa0/0 口 发 出 去 的 路 由 信息 如 下 。 

Loopback0: 1.0.0.0 


Loopbackl: 172.16.20.0 
Loopback2: 192.168.10.0 
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Loopback3: 182.15.0.0 


RIPv1 协议 中 ,接收 路 由 更 新 的 规则 为 

CD 接收 路 由 信息 是 否 与 人 端口 (如 图 6. 3 所 示 的 路 由 器 R2 的 Fa0/0 口 ) 属 于 同一 主 
网 段 ,若是 同一 主 网 段 , 则 查看 子 网 掩 码 是 否 相 同 ? 若 相 同 , 则 接收 ; 若 不 同 , 则 将 子 网 掩 码 
改 为 和 人 端口 的 子 网 掩 码 接收 。 

(2) 若 不 是 同一 主 网 段 , 且 路 由 表 中 有 了 该 路 由 的 子 网 路 由 , 则 不 接收 路 由 更 新 。 对 于 
自身 路 由 表 中 没有 该 路 由 的 子 网 路 由 , 则 更 新 路 由 。 

如 图 6. 3 Bros , 报 文中 不 携带 任何 掩 码 信 息 。R2 上 的 Fa0/0 端口 接收 R1 发 来 的 更 新 
后 ,将 R1 发 来 的 路 由 信息 的 网 络 号 与 接收 路 由 器 R2 的 端口 Fa0/0 的 主 类 网 络 号 进行 对 
比 。 结 果 只 有 网 络 172. 16. 20. 0 与 接收 端口 属于 同一 主 网 络 ,并 且 子 网 掩 码 相同 ,因此 接收 
更 新 ,其 他 均 不 属于 同一 主 网 段 , 且 R2 路 由 器 中 不 含有 这 些 网 段 的 子 网 路 由 信息 ,因此 全 
部 更 新 。 

为 了 验证 分 析 结 果 , 对 图 6. 3 所 示 网 络 做 RIPvl 配置 ,最 终 路 由 更 新 信息 与 分 析 结 果 
一 致 ,具体 配置 过 程 如 下 。 

R1 路 由 器 的 RIPv1 配置 如 下 。 


R1 (config)# router rip 

R1 (config- router)#network 172.16.0.0 
R1 (config- router)#network 1.0.0.0 

R1 (config- router)#network 192.168.10.0 
R1 (config- router)#network 182.15.0.0 


R1 (config- router)#end 
R2 路 由 器 的 RIPv1 配置 如 下 。 


R2 (config)# router rip 
R2 (config- router)#network 172.16.0.0 


R2 (config- router)# end 
路 由 器 R1 的 路 由 表 如 下 。 


Rl# show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS-IS level-1, L2 -IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U -per- user static route, o -ODR 
P - periodic downloaded static route 
Gateway of last resort is not set 
1.0.0.0/24 is subnetted, 1 subnets 


c 1.1.1.0 is directly connected, Loopback0 
172.16.0.0/24 is subnetted, 2 subnets 

c 172.16.10.0 is directly connected, FastEthernet0/0 

c 172.16.20.0 is directly connected, Loopbackl 
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182.15.0.0/24 is subnetted, 1 subnets 


c 182.15.30.0 is directly connected, Loopback3 
C  192.168.10.0/24 is directly connected, Loopback? 
RI 

R2 路 由 器 的 路 由 表 如 下 。 


R2# show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll - IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U -per- user static route, o -ODR 
P -periodic downloaded static route 
Gateway of last resort is not set 
R 1.0.0.0/8 [120/1] via 172.16.10.1, 00:00:12, FastEthernet0/0 
172.16.0.0/24 is subnetted, 2 subnets 
性 172.16.10.0 is directly connected, FastEthernet0/0 
R 172.16.20.0 [120/1] via 172.16.10.1, 00:00:12, FastEthernet0/O 
R 182.15.0.0/16 [120/1] via 172.16.10.1, 00:00:12, FastEthernet0/0 
R 192.168.10.0/24 [120/1] via 172.16.10.1, 00:00:12, FastEthernet0/0 
为 


了 进一步 验证 RIPvl 发 送 路 由 更 新 和 接收 路 由 更 新 的 规则 ,对 图 6.4 所 示 网 络 进行 


Fa0/0 
Loopback0: 10.10.1.1/24 2m 
Loopbackl: 10:20.1/16 e» ec | eo 
Loopback2: 172.16.1.1/24 zum "Um 
Loopback3: 192.168.1.1/24 ^ Es 
Oopbaci RI m 


图 6.4 RIPv1 发 送 路 由 更 新 及 接收 路 由 更 新 网 络 拓扑 图 


如 图 6.4 所 示 ,首先 将 RI 上 将 要 发 送 网 段 信 息 的 IP 地 址 都 转 成 主 类 网 络 号 ,具体 


如 下 。 


Loopback 0 主 类 网 络 号 为 10.0.0.0 
Loopback 1 主 类 网 络 号 为 10.0.0.0 
Loopback 2 主 类 网 络 号 为 172.16.0.0 
Loopback 3 主 类 网 络 号 为 192.168.1.0 


对 比 所 有 的 Loopback HO +j Fa0/0 口 ,发 现 Loopback0 以 及 Loopbackl 口 的 主 类 网 络 


号 和 Fa0/0 的 主 类 网 络 号 一 样 ,其 中 Loopbackl 的 子 网 掩 码 与 Fao/0 口 相同 ,因此 发 送 
Loopback1 子 网 路 由 信息 ,而 Loopback0 FI HET -5 Fa0/0 不 相同 ,因此 丢弃 不 转发 路 由 信 
息 , 其 他 的 环 回 口 都 发 送 汇总 信息 。 从 Fa0/0 口 发 出 去 的 路 由 信息 如 下 。 


Loopbackl:10.10.1.0 
Loopback2:172.16.0.0 
Loopback3:192.168.1.0 
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接 下 来 分 析 接 收 路 由 更 新 过 程 。 如 图 6.4 所 示 ,R2 上 的 Fao/0 端口 接收 到 R1 发 来 的 
更 新 后 ,将 接收 到 的 路 由 信息 与 接收 路 由 器 R2 的 Fa0/0 端口 的 主 类 网 络 号 做 对 比 。 结 果 
只 有 网 络 10. 10. 1. 0 与 接收 端口 属于 同一 主 网 络 ,并 且 子 网 掩 码 相 同 ,因此 接收 更 新 ,其 他 
均 不 属于 同一 主 网 段 , 且 不 存在 这 些 路 由 的 子 网 路 由 ,因此 其 他 汇总 路 由 信息 全 部 更 新 。 最 
终 更 新 的 结果 为 : R2 路 由 器 中 添加 以 下 3 个 网 段 的 路 由 信息 ,分 别 为 10. 10. 1.0、172. 16. 
0.0 以 及 192. 168.1.0。 路 由 器 R2 的 路 由 表 更 新 后 的 情况 如 图 6. 5 所 示 。 


LA 


Physical Config CLI | Attributes 


IOS Command Line Interface 


show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 

Nl - OSPF NSSA external type l, N2 - OSPF NSSA external type 2 

El - OSPF external type l, E2 - OSPF external type 2, E — EGP 

i - IS-IS, Ll - IS-IS level-l, L2 - IS-IS level-2, ia - IS-IS inter area 

* — candidate default, U - per-user static route, o - ODR 

P - periodic downloaded static route 


Gateway of last resort is not set 


10.0.0.0/24 is subnetted, 2 subnets 
c 10.1.1.0 is directly connected, FastEthernet0/0 
R 10.10.1.0 [120/1] via 10.1.1.2, 00:00:08, FastEthernet0/0 
R — 172.16.0.0/16 [120/1] via 10.1.1.2, 00:00:08, FastEthernet0/0 
R — 192.168.1.0/24 [120/1] via 10.1.1.2, 00:00:08, FastEthernet0/O 


m2$ 


图 6.5 路 由 器 R2 的 路 由 表 更 新 后 的 情况 


3. RIPvl 的 局 限 性 

1) 不 支持 不 连续 子 网 

不 连续 子 网 的 网 络 拓扑 图 如 图 6.6 所 示 。 路 由 器 RI 环 回 口 Loopback0 的 主 类 网 络 号 
为 192. 168. 1. 0, 子 网 号 为 192. 168. 1. 0/25 ,路 由 器 R3 环 回 口 Loopback0 的 主 类 网 络 号 为 
192. 168. 1. 0, 子 网 号 为 192. 168. 1. 128/25 ,它们 之 间 连 接 了 两 个 主 类 网 络 , 分 别 为 12. 0. 0. 0 
以 及 23.0.0.0, 


Loopback0 12.1.1.124 12.1.1224. 23.1.1124. 23.1.1224 LoopbackO 
192.168.1.1/25 n idis) a dia 192.168.1.12925 


2811 S0/0/0 S0/0/1 
RI 


2811 2811 
R2 R3 
6.6 不 连续 子 网 的 网 络 拓扑 图 


根据 路 由 器 RIPv1 发 送 路 由 更 新 和 接收 路 由 更 新 规则 ,R1l 环 回 口 Loopbacko 的 主 类 
网 络 号 192. 168. 1. 0/24 与 R1 发 送 路 由 信息 端口 S0/0/0 不 属于 同一 主 类 网 络 号 ,因此 发 
送 汇总 路 由 192. 168. 1.0, 根 据 路 由 器 接收 路 由 信息 规则 ,路 由 器 R2 将 接收 该 汇总 路 由 ,路 
由 器 R2 将 自己 的 直 连 网 络 12. 1. 1. 0/24 汇总 成 主 类 网 络 12. 0. 0. 0 向 R3 发 送 ,同样 也 将 
23.1.1.0/24 汇总 成 主 类 网 络 23.0.0.0 发 给 R1。 另 外 ,路 由 器 R2 将 RI 发 送 的 汇总 路 由 
192.168. 1.0 向 路 由 器 R3 发 送 时 ,由 于 路 由 器 R3 已 有 主 类 网 络 192. 168. 1.0 的 子 网 路 由 
信息 ,因此 R2 将 192. 168. 1.0 发 给 R3 时 不 会 更 新 。 同 样 ,R3 环 回 口 将 汇总 从 路 由 器 R3 
端口 S0/0/1 发 送出 去 后 ,路 由 器 R2 由 于 有 了 192. 168. 1.0 的 路 由 ,因此 作为 负载 均衡 添 
加 更 新 。3 台 路 由 器 的 路 由 表 分 别 如 图 6.7 一 图 6.9 所 示 。 
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| cur | 


IOS Command Line Interface 
F ip route 
Codes: C - connected, S - static, I — IGRP, R - RIP, M - mobile, B ~ BGP 
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
Nl - OSPF NSSA external type l, N2 - OSPF NSSA external type 2 
El - OSPF external type l, E2 - OSPF external type 2, E - EGP 
1 - IS-IS, Ll - IS-IS level-l, L2 ~ IS-IS level-2, ia - IS-IS inter area 
* - candidate default, U - per-user static route, o — ODR 
P - periodic downloaded static route 


Gateway of last resort is not set 


12.0.0.0/24 is subnetted, 1 subnets 

c 12.1.1.0 is directly connected, Serial0/0/0 

R — 23.0.0.0/8 [120/1] via 12.1.1.2, 00:00:09, Serial0/0/0 
192.168.1.0/25 is subnetted, 1 subnets 

c 192.168.1.0 is directly connected, Loopback0 


图 6.7 路 由 器 Rl 的 路 由 表 


LA 


Physical | Config CLI — Attributes 


IOS Command Line Interface 


show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter ari 
Nl - OSPF NSSA external type l, N2 - OSPF NSSA external type 2 

El - OSPF external type l, E2 - OSPF external type 2, E - EGP 

i - IS-IS, Ll - IS-IS level-l, L2 - IS-IS level-2, ia - IS-IS inter area 
* — candidate default, U ~ per-user static route, o - ODR 

P - periodic downloaded static route 


Gateway of last resort is not set 


12.0.0.0/24 is subnetted, 1 subnets 

c 12.1.1.0 is directly connected, Serial0/0/0 
23.0.0.0/24 is subnetted, 1 subnets 

c 23.1.1.0 is directly connected, Serial0/0/1 

R — 192.168.1.0/24 [120/1] via 12.1.1.1, 00:00:01, Serial0/0/0 
[120/1] via 23.1.1.2, 00:00:11, Serial0/0/1 


图 6.8 路 由 器 R2 的 路 由 表 


lI | 


Physical ^ Config CLI | Attributes 


IOS Command Line Interface 


show ip route 
Codes: C - connected, S - static, I - IGRP, R — RIP, M - mobile, B - BGP 

D - EIGRP, EX - EIGRP external, O — OSPF, IA - OSPF inter area 

Nl - OSPF NSSA external type l, N2 - OSPF NSSA external type 2 

El - OSPF external type l, E2 - OSPF external type 2, E — EGP 

i - IS-IS, Ll - IS-IS level-l, L2 - IS-IS level-2, ia - IS-IS inter area 

* - candidate default, U - per-user static route, o - ODR 

P - periodic downloaded static route 


Gateway of last resort is not set 


R 12.0.0.0/8 [120/1] via 23.1.1.1, 00:00:26, Serial0/0/1 
23.0.0.0/24 is subnetted, 1 subnets 


c 23.1.1.0 is directly connected, Serial0/0/1 
192.168.1.0/25 is subnetted, 1 subnets 
c 192.168.1.128 is directly connected, Loopbacko 


6.9 路 由 器 R3 的 路 由 表 
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从 3 台 路 由 器 的 路 由 表 可 以 看 出 ,整个 网 络 不 能 互联 互通 。 因 此 ,RIPv1 不 支持 不 连续 
子 网 网 络 互 联 和 互通 。 

2) 不 支持 VLSM 

设计 可 变 长 子 网 VLSM 的 网 络 拓扑 图 ,如 图 6. 10 所 示 。 注 意 ,VLSM 是 在 同一 网 络 下 
的 子 网 划分 ,是 在 一 个 划分 子 网 的 网 络 中 同时 使 用 几 个 不 同 的 子 网 掩 码 ,路 由 器 RL 环 回 口 
Loopback0 的 主 类 网 络 号 为 192. 168. 1. 0, 子 网 号 为 192. 168. 1. 0/26 ,路 由 器 R2 环 回 口 
Loopback0 的 主 类 网 络 号 为 192. 168. 1.0, 子 网 号 为 192. 168. 1.128/26, 它 们 之 间 连 接 的 主 
类 网 络 为 192. 168. 1. 64/30。 


Loopback0: 192.168.1.1/26 $0/0/0: 192.168.1.65/30 Loopback0: 192.168.1.129/26 


2811 5000 2811 
RI R2 
S0/0/0: 192.168.1.66/30 


图 6.10 可 变 长 子 网 VLSM 的 网 络 拓扑 图 


根据 路 由 器 RIPvl 发 送 路 由 更 新 和 接收 路 由 更 新 规则 ,路 由 器 R1 环 回 口 Loopback0 
的 主 类 网 络 号 为 192. 168. 1.0, 由 于 出 端口 S0/0/0 的 主 类 网 络 号 也 是 192. 168. 1. 0 ,但 它们 
的 子 网 拖 码 不 相同 ,因此 不 更 新 ,同样 路 由 器 R2 也 不 更 新 ,路 由 器 的 路 由 表 只 有 直 连 路 由 
信息 ,网 络 无 法 联通 。 路 由 器 RI 和 路 由 器 R2 的 路 由 表 如 图 6. 11 和 图 6. 12 所 示 。 


[rJ R1 
Physical | Config | CLI | Attributes | 
IOS Command Line Interface 
si p route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
Nl - OSPF NSSA external type l, N2 - OSPF NSSA external type 2 
El - OSPF external type l, E2 ~ OSPF external type 2, E - EGP 
i - IS-IS, Ll - IS-IS level-l, L2 - IS-IS level-2, ia - IS-IS inter area 
* - candidate default, U - per-user static route, o - ODR 
P - periodic downloaded static route 


Gateway of last resort is not set 
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 


c 192.168.1.0/26 is directly connected, Loopback0 
c 192.168.1.64/30 is directly connected, Serial0/0/0 


图 6.11 路 由 器 RI 的 路 由 表 


WP R2 
Physical | Config | CLI | Attributes 


IOS Command Line Interface] 


show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
Nl - OSPF NSSA external type l, N2 — OSPF NSSA external type 2 
El - OSPF external type 1, E2 ~ OSPF external type 2, E - EGP 
i - IS-IS, Ll - IS-IS level-l, L2 - IS-IS level-2, ia - IS-IS inter area 
* — candidate default, U 一 per-user static route, o — ODR 
P - periodic downloaded static route 


Gateway of last resort is not set 
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 


c 192.168.1.64/30 is directly connected, Serial0/0/0 
c 192.168.1.128/26 is directly connected, Loopbackü 


图 6.12 路 由 器 R2 的 路 由 表 
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RIPv1 是 一 个 有 类 路 由 协议 ,而 且 支持 带子 网 的 网 络 地 址 ,但 必须 是 连续 的 ,并 且 子 网 
拖 码 长 度 必须 相同 ,中 间 也 不 被 其 他 主 类 网 络 分 隔 。 


6.1.4 RIPv2 


1. RIPv2 发 送 路 由 更 新 和 接收 路 由 更 新 规则 

RIPv2 发 送 路 由 更 新 的 规则 为 : 在 开启 自动 汇总 的 情况 下 (默认 ) ,判断 将 要 发 送 的 网 
段 信息 与 出 端口 是 否 为 同一 主 网 段 ? 若是 同一 主 网 段 , 则 带 原 有 掩 码 发 送 ; 若 不 是 同一 主 网 
段 , 则 发 送 该 路 由 的 汇总 路 由 。 不 开 自 动 汇总 的 情况 下 ,不 管 是 不 是 同一 主 网 ,一 律 按照 原 
有 的 掩 码 发 送 。 

RIPv2 接收 路 由 更 新 的 规则 为 : 不 管 开 不 开 自 动 汇总 ,一 律 用 发 送 来 的 扼 码 更 新 。 

RIPv2 基本 配置 网 络 拓扑 图 如 图 6. 13 所 示 。 路 由 器 R1 环 回 口 Loopback0 的 主 类 网 
络 号 为 192. 168. 1. 0, 子 网 号 为 192. 168. 1. 0/25 ,路 由 器 R3 环 回 口 Loopback0 的 主 类 网 络 
号 为 192. 168. 1. 0, 子 网 号 为 192. 168. 1. 128/25 ,它们 之 间 连 接 了 两 个 网 络 , 分 别 为 12. 1. 
1.0/24 以 及 23.1.1.0/24。 


Loopback0 12.1124. 12.1224. 23.1.1124. 23.1.1.2/24 Loopback0 


192.168.1.1/25 192.168.1.129/25 


2811 S0/0/0 2811 S0/0/1 2811 
RI R2 R3 


图 6.13 RIPv2 基本 配置 网 络 拓扑 图 


在 关闭 路 由 器 端口 水 平分 割 功能 情况 下 ,按照 RIPv2 发 送 路 由 更 新 和 接收 路 由 更 新 规 
则 分 析 如 下 : 在 开启 自动 汇总 的 情况 下 (默认 ) ,路 由 器 RI 环 回 口 网 络 地 址 要 发 送 的 网 段 为 
192.168. 1.0/25, 与 出 端口 S0/0/0 网 络 地 址 12. 1. 1. 0/24 属于 不 同 网 段 ,发 送 汇总 路 由 
192. 168. 1. 0/24 ,根据 路 由 器 接收 路 由 信息 规则 ,路 由 器 R2 将 接收 该 汇总 路 由 ,路 由 器 R2 
将 自己 的 直 连 网 络 12. 1. 1. 0/24 汇总 成 主 类 网 络 12. 0. 0. 0 向 R3 发 送 , 同 样 也 将 23. 1. 1. 
0/24 汇总 成 主 类 网 络 23. 0. 0. 0 发 给 R1。 同 样 ,R1l 将 汇总 网 络 23. 0. 0. 0 通过 S0/0/0 发 送 
给 R2,R2 将 汇总 路 由 23.0.0. 0 发 给 R3. R3 将 汇总 网 络 12. 0. 0. 0 发 给 R2. R2 将 汇总 路 由 
12.0.0.0 发 给 R1。 另 外 ,路 由 器 R2 将 RI 发送 的 汇总 路 由 192. 168. 1. 0 向 路 由 器 R3 发 
送 时 ,由 于 接收 路 由 更 新 规则 为 : 不 管 开 不 开 自 动 汇总 ,一律 用 发 送 来 的 掩 码 更 新 ,因此 R2 
将 192. 168. 1. 0 发 给 R3 时 ,R3 会 将 192. 168. 1. 0/24 直接 更 新 。 同 样 ,R3 环 回 口 将 汇总 从 
路 由 器 R3 端口 S0/0/1 发 送出 去 后 ,路 由 器 R2 由 于 有 了 192. 168. 1.0 的 路 由 ,因此 作为 负 
载 均衡 添加 更 新 。 男 外 ,路 由 器 R2 将 R3 发 送 的 汇总 路 由 192. 168. 1. 0 向 路 由 器 R1 发 送 
时 ,由 于 接收 路 由 更 新 规则 为 : 不 管 开 不 开 自 动 汇总 ,一律 用 发 送 来 的 掩 码 更 新 ,因此 R2 将 
192.168. 1. 0 发 给 R1 时 ,RIl 会 将 192. 168. 1. 0/24 直接 更 新 。 

接 下 来 验证 实际 路 由 器 发 送 路 由 更 新 和 接收 路 由 更 新 规则 ,可 做 如 下 具体 配置 。 

首先 对 路 由 器 R1、R2 以 及 R3 进行 基本 配置 。R1 配置 如 下 。 


Router (config)#hostname R1 // 路 由 器 命名 
R1 (config)# interface loopback 0 // 进 入 环 回 口 
R1 (config-if)£ip address 192.168.1.1 255.255.255.128 // 设 置 IP 地 址 
Rl (config- if)#exit // 退 出 
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Rl (config)# interface serial 0/0/0 // 进 入 S0/0/0 端口 
Rl (config- if)# ip address 12.1.1.1 255.255.255.0 // 配 置 IP 地 址 

Rl (config- if)#no shu // 激 活 

R1 (config- if)# clock rate 64000 // 设 置 时 钟 频 率 
对 路 由 器 R2 进行 基本 配置 如 下 : 

Router (config) #hostname R2 // 路 由 器 命名 

R2 (config)# interface serial 0/0/0 // 进 入 s0/0/0 端口 
R2 (config- if)# ip address 12.1.1.2 255.255.255.0 // 设 置 IP 地址 

R2 (config- if)#no shu // 激 活 

R2 (config- if)#exit // 退 出 

R2 (config)# interface serial 0/0/1 // 进 入 s0/0/1 端口 
R2 (config- if)#ip address 23.1.1.1 255.255.255.0 // 设 置 IP 地 址 

R2 (config- if)#clock rate 64000 // 设 置 时 钟 频率 
对 路 由 器 R3 进行 基本 配置 如 下 : 

Router (config)#hostname R3 // 路 由 器 命名 

R3 (config)# interface serial 0/0/1 / 3 A. S0/0/1 端口 
R3 (config- if)# ip address 23.1.1.2 255.255.255.0 // RE ITP 地 址 

R3 (config- if)# no shutdown // 激 活 
R3(config-if)fexit // 退 出 

R3 (config)# interface loopback 0 // 进 入 环 回 口 


R3(config- if)# ip address 192.168.1.129 255.255.255.128 //it'K IP 地 址 


接着 对 路 由 器 R1、R2 以 及 R3 启用 动态 路 由 RIPv2, 具 体 配置 如 下 。 
首先 配置 路 由 器 R1。 


R1 (config)# router rip // 启 动 路 由 协议 RIP 

R1 (config- router)#version 2 // 启 用 版 本 2 

Rl (config- router)# network 192.168.1.0 // 指 定 参 与 路 由 选择 进程 的 端口 

R1 (config- router) # network 12.0.0.0 // 指 定 参 与 路 由 选择 进程 的 端口 

配置 路 由 器 R2. 

R2 (config)# router rip // 启 动 路 由 协议 RIP 

R2 (config- router)# version 2 // 启 用 版 本 2 

R2 (config- router)#network 12.0.0.0 // 指 定 参 与 路 由 选择 进程 的 端口 

R2 (config- router)# network 23.0.0.0 // 指 定 参与 路 由 选择 进程 的 端口 

配置 路 由 器 R3。 

R3 (config)# router rip // 启 动 路 由 协议 RIP 

R3 (config- router)#version 2 // 启 动 版 本 2 

R3 (config- router) # network 23.0.0.0 // 指 定 参 与 路 由 选择 进程 的 端口 

R3 (config- router) # network 192.168.1.0 // 指 定 参 与 路 由 选择 进程 的 端口 

为 了 验证 RIPv2 发 送 路 由 更 新 和 接收 路 由 更 新 规则 ,需要 关闭 路 由 器 相关 端口 的 水 平 
分 割 功 能 。 
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R1 (config)# interface serial 0/0/0 // 进 入 路 由 器 Bl 的 端口 s0/0/0 

Rl (config- if)# no ip split-horizon // 关 闭路 由 器 的 Rl 的 s0/0/0 端 口水 平分 割 功能 
R2 (config)# interface serial 0/0/0 // 进 入 路 由 器 R2 的 端口 s0/0/0 

R2 (config- if)# no ip split-horizon // 关 闭路 由 器 R2 的 s0/0/0 端口 水 平分 割 功能 
R2(config-if)fexit 

R2 (config) # interface serial 0/0/1 // 进 入 路 由 器 R2 的 端口 s0/0/1 

R2 (config- if)#no ip split-horizon // 关 闭路 由 器 R2 的 s0/0/1 端口 水 平分 割 功能 
R3 (config)# interface serial 0/0/1 // 进 入 路 由 器 R3 的 端口 s0/0/1 

R3 (config- if)# no ip split-horizon // 关 闭路 由 器 R3 的 s0/0/1 端口 水 平分 割 功 能 


最 后 查看 3 台 路 由 器 的 路 由 表 , 结 果 如 下 (这 里 需要 注意 RIP 路 由 收敛 时 间 有 点 长 , 通 
常 需要 3 一 4 分钟) 

路 由 器 R1 的 路 由 表 如 图 6. 14 所 示 ,关于 12. 0. 0. 0/8 ,路 由 器 R2 将 12. 1. 1. 0/24 汇总 
后 向 路 由 器 R3 更 新 ,路 由 器 R3 将 12. 0. 0. 0/8 向 R2 更 新 ,R2 再 向 RI 更 新 。 关 于 23.0. 
0.0/8, 将 23.1.1.0/24 汇 总 后 向 R1 更 新 。 关 于 192. 168. 1. 0/24, 是 R3 向 R2 更 新 ,R2 再 
向 R1 更 新 。 


[ RI 


Physical | Config CLI | Attributes 


s p route 
Codes: C - connected, S - static, I - IGRP, R - RID, M - mobile, B - BGP 
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
Nl - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 
El - OSPF external type l, E2 - OSPF external type 2, E — EGP 
i - IS-IS, Ll - IS-IS level-l, L2 - IS-IS level-2, ia - IS-IS inter area 
* — candidate default, U - per-user static route, o - ODR 
P - periodic downloaded static route 


Gateway of last resort is not set 


12.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 
12.0.0.0/8 [120/3] via 12.1.1.2, 00:00:00, Serial0/0/0 
12.1.1.0/24 is directly connected, Serial0/0/0 

23.0.0.0/8 [120/1] via 12.1.1.2, 00:00:00, Serial0/0/0 

192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 


waw 


192.168.1.0/24 [120/2] via 12.1.1.2, 00:00:00, Serial0/0/0 
192.168.1.0/25 is directly connected, Loopbackü 


n»n 


图 6.14 路 由 器 R1 的 路 由 表 


路 由 器 R2 的 路 由 表 如 图 6. 15 所 示 ,关于 12. 0.0.0/8, 是 R2 将 12.1.1.0/24 汇总 后 向 
R3 更 新 ,R3 再 向 R2 更 新 。 关 于 23. 0. 0. 0/8, 是 R2 将 23. 1. 1. 0/24 汇总 后 向 R1 更 新 ,R1 
再 向 R2 更 新 。 关 于 192. 168. 1. 0/24 ,一 方面 是 R1 向 R2 更 新 , 另 一 方面 是 R3 向 R2 更 新 。 

路 由 器 R3 的 路 由 表 如 图 6. 16 所 示 ,关于 12. 0. 0. 0/8, 是 R2 将 12. 1. 1. 0/24 汇总 后 向 
R3 更 新 。 关 于 23. 0. 0. 0/8, 是 R2 将 23. 1. 1. 0/24 汇总 后 向 RI 更 新 ,Rl 向 R2 更 新 ,R2 向 
R3 更 新 。 关 于 192. 168.1. 0/24 ,是 R1 向 R2 更 新 ,R2 向 R3 更 新 。 

实际 路 由 器 R1、R2 以 及 R3 显示 的 路 由 结果 遵循 路 由 协议 RIPv2 发 送 路 由 更 新 和 接 
收 路 由 更 新 规则 。 

为 了 防止 路 由 器 动态 路 由 协议 RIPv2 形成 路 由 环 路 ,影响 路 由 器 工作 性 能 ,路 由 器 默 
认 开启 水 平分 割 功 能 。 开 启 水 平分 割 功能 的 配置 如 下 。 
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P R3 


R 
c 


An 


R2$show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 


Gateway of last resort is not set 


12.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 
23.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 


192.168.1.0/24 [120/1] via 12.1.1.1, 00:00:06, Serial0/0/0 


| Physical | Config CLI | Attributes | 


Codes: C - connected, S - static, I - IGRP, R - RID, M - mobile, B - BGP 


Gateway of last resort is not set 


| Config CLI Attributes | 


D — EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 

Nl - OSPF NSSA external type l, N2 - OSPF NSSA external type 2 

El - OSPF external type l, EZ - OSPF external type 2, E — EGP 

i -~ IS-IS, Ll - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area 
* - candidate default, U - per-user static route, o — ODR 

P - periodic downloaded static route 


12.0.0.0/8 [120/2] via 23.1.1.2, 00:00:17, Serial0/0/1 
12.1.1.0/24 is directly connected, Serial0/0/0 


23.0.0.0/8 (120/2] via 12.1.1.1, 00:00:06, Serial0/0/0 
23.1.1.0/24 is directly connected, Serial0/0/1 


[120/1] via 23.1.1.2, 00:00:17, Serial0/0/1 


6.15 路 由 器 R2 的 路 由 表 


ip route 


D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 

N1 - OSPF NSSA external type l, N2 - OSPF NSSA external type 2 

El - OSPF external type l, E2 - OSPF external type 2, E - EGP 

i - IS-IS, Ll - IS-IS level-1l, L2 - IS-IS level-2, ia - IS-IS inter area 
* — candidate default, U - per-user static route, o - ODR 

P - periodic downloaded static route 


12.0.0.0/8 [120/1] via 23.1.1.1, 00:00:22, Serial0/0/1 

23.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 
23.0.0.0/8 [120/3] via 23.1.1.1, 00 2, Serial0/0/1 
23.1.1.0/24 is directly connected, Serial0/0/1 

192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 
192.168.1.0/24 [120/2] via 23.1.1.1, 00:00:22, Serial0/0/1 
192.168.1.128/25 is directly connected, Loopback0 


图 6.16 路 由 器 R3 的 路 由 表 


R1 (config)# interface serial 0/0/0 // 进 入 路 由 器 RI 的 端口 so/0/0 

RI (config- if)# ip split-horizon // 开 启 路 由 器 R1 的 s0/0/0 端口 水 平分 割 功 能 

R2 (config)# interface serial 0/0/0 // 进 入 路 由 器 R2 的 端口 so/0/0 

R2 (config- if)# ip split-horizon // 开 启 路 由 器 R2 的 s0/0/0 端口 水 平分 割 功 能 
R2(config-if)fexit 

R2 (config)# interface serial 0/0/1 // 进 入 路 由 器 R2 的 端口 so/0/1 

R2(config-if)fip split-horizon // 开 启 路 由 器 R2 的 s0/0/1 端口 水 平分 割 功能 

R3 (config)# interface serial 0/0/1 // 进 入 路 由 器 R3 的 端口 so/0/1 

R3(config-if)fip split-horizon // 开 启 路 由 器 R3 的 s0/0/1 端口 水 平分 割 功能 
开启 端口 水 平分 割 功能 后 ,路 由 器 的 路 由 表 发 生变 化 ,具体 路 由 器 R1 的 路 由 表 如 图 6. 17 
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所 示 。 路 由 器 R2 的 路 由 表 如 图 6.18 所 示 。 路 由 器 R3 的 路 由 表 如 图 6. 19 所 示 。 


Gateway of last resort is not set 


12.0.0.0/24 is subnetted, 1 subnets 
c 12.1.1.0 is directly connected, Serial0/0/0 
R — 23.0.0.0/8 [120/1] via 12.1.1.2, 00:00:20, Serial0/0/0 
192.168.1.0/25 is subnetted, 1 subnets 
c 192.168.1.0 is directly connected, Loopback0 


图 6.17 路 由 器 R1 的 路 由 表 


"o 


wa 


12.0.0.0/24 is subnetted, 1 subnets 
12.1.1.0 is directly connected, Serial0/0/0 
23.0.0.0/24 is subnetted, 1 subnets 
23.1.1.0 is directly connected, Serial0/0/1 
192.168.1.0/24 [120/1] vía 12.1.1.1, 00:00:06, Serial0/0/0 
[120/1] via 23.1.1.2, 00:00:26, Serial0/0/1 


图 6.18 路 由 器 R2 的 路 由 表 


12.0.0.0/24 is subnetted, 1 subnets 
12.1.1.0 is directly connected, Serial0/0/0 
23.0.0.0/24 is subnetted, 1 subnets 
23.1.1.0 is directly connected, Serial0/0/1 
192.168.1.0/24 [120/1] via 12.1.1.1, 00:00:06, Serial0/0/0 
[120/1] via 23.1.1.2, 00:00:26, Serial0/0/1 


图 6.19 路 由 器 R3 的 路 由 表 


从 路 由 表 可 以 看 出 ,动态 路 由 协议 RIPv2 默认 开启 路 由 自动 汇总 功能 ,对 于 不 连续 子 
网 组 成 的 网 络 ,并 不 能 解决 网 络 互联 问题 。 而 RIPv2 路 由 协议 支持 不 连续 子 网 ,VLSM 以 
及 CIDR ,因为 它 更 新 路 由 信息 时 携带 子 网 掩 码 信息 。 通 过 关闭 自动 汇总 功能 ,可 以 实现 网 


络 互联 互通 ,具体 配置 如 下 。 

R1 (config)# router rip // 启 动 路 由 协议 RIP 

R1 (config- router)#version 2 // 启 动 版 本 2 

R1 (config- router)#no auto- summary // 关 闭路 由 器 R1 的 RIPV2 自动 汇总 功能 
R2 (config)# router rip // 启 动 路 由 协议 RIP 

R2 (config- router)# version 2 // 启 动 版 本 2 

R2 (config- router) # no auto- summary // 关 闭路 由 器 R2 的 RIPv2 自动 汇总 功能 
R3 (config)# router rip // 启 动 路 由 协议 RIP 

R3(config- router)#version 2 // 启 动 版 本 2 


R3 (config- router)# no auto- summary 


// 关 闭路 由 器 R3 的 RIPv2 自动 汇总 功能 


按照 不 开 自动 汇总 的 情况 下 ,不 管 是 不 是 同一 主 网 ,一 律 按照 原 有 的 掩 码 发 送 。 
RIPv2 接收 路 由 更 新 的 规则 为 : 不 管 开 不 开 自 动 汇总 ,一 律 用 发 送 来 的 掩 码 更 新 。 分 析 
R1 路 由 器 可 以 得 到 192. 168. 1. 129/25 以 及 23. 1. 1. 0/24 的 路 由 ,分 析 R3 路 由 器 可 以 
得 到 192. 168. 1. 0/25 以 及 12.1.1.0/24 的 路 由 ,分 析 R2 路 由 器 可 以 得 到 192. 168. 1. 
0/25 以 及 192. 168. 1. 128/25 的 路 由 。 路 由 器 R1、R2 以 及 R3 的 路 由 表 如 图 6. 20 — 


图 6.22 所 示 。 


最 终 进行 网 络 连通 性 测试 ,通过 路 由 器 RI ping 路 由 器 R3 环 回 口 ,测试 结果 如 图 6. 23 
所 示 ,结果 表明 网 络 是 联通 的 。 
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WP RI 


| Physical | Config | CLI | Attributes 


Rl$show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B 一 BGP 

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 

Nl - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 

El - OSPF external type l, E2 - OSPF external type 2, E - EGP 

i - IS-IS, Ll - IS-IS level-l, L2 — IS-IS level-2, ia - IS-IS inter area 

* - candidate default, U - per-user static route, o 一 ODR 

P - periodic downloaded static route 


Gateway of last resort is not set 


12.0.0.0/24 is subnetted, 1 subnets 
12.1.1.0 is directly connected, Serial0/0/0 
23.0.0.0/24 is subnetted, 1 subnets 
23.1.1.0 [120/1] via 12.1.1.2, 00:00:11, Serial0/0/0 
192.168.1.0/25 is subnetted, 2 subnets 
192.168.1.0 is directly connected, Loopbackü 
192.168.1.128 [120/2] via 12.1.1.2, 00:00:11, Serial0/0/0 


图 6.20 路 由 器 R1 的 路 由 表 
[P R2 


Physical | Config CLI | Attributes 


Fshow ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 

Nl - OSPF NSSA external type l, N2 - OSPF NSSA external type 2 

El - OSPF external type l, E2 - OSPF external type 2, E - EGP 

i - IS-IS, Ll - IS-IS level-l, L2 -~ IS-IS level-2, ia - IS-IS inter area 

* - candidate default, U - per-user static route, o — ODR 

P - periodic downloaded static route 


Gateway of last resort is not set 


12.0.0.0/24 is subnetted, 1 subnets 


c 12.1.1.0 is directly connected, Serial0/0/0 
23.0.0.0/24 is subnetted, 1 subnets 
c 23.1.1.0 is directly connected, Serial0/0/1 
192.168.1.0/25 is subnetted, 2 subnets 
R 192.168.1.0 [120/1] via 12.1.1.1, 00:00:01, Serial0/0/0 
R 192.168.1.128 [120/1] via 23.1.1.2, 00:00:09, Serial0/0/1 


图 6.21 路 由 器 R2 的 路 由 表 


R3 


Physical | Config | CII | Attributes | 


show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
Nl — OSPF NSSA external type l, N2 - OSPF NSSA external type 2 
El — OSPF external type l, E2 - OSPF external type 2, E — EGP 


i ~ IS-IS, Ll - IS-IS level-l, L2 ~ IS-IS level-2, ia - IS-IS inter area 
* — candidate default, U - per-user static route, o — ODR 
P - periodic downloaded static route 


Gateway of last resort is not set 


12.0.0.0/24 is subnetted, 1 subnets 


R 12.1.1.0 [120/1] via 23.1.1.1, 00:00:13, Serial0/0/1 
23.0.0.0/24 is subnetted, 1 subnets 

c 23.1.1.0 is directly connected, Serial0/0/1 
192.168.1.0/25 is subnetted, 2 subnets 

R 192.168.1.0 [120/2] via 23.1.1.1, 00:00:13, Serial0/0/1 

c 192.168.1.128 is directly connected, Loopback0 


图 6.22 路 由 器 R3 的 路 由 表 
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Rl$ping 192.168.1.129 


Type escape sequence to abort. 
Sending S, 100-byte ICMP Echos to 192.168.1.129, timeout is 2 seconds: 
[rm 

Success rate is 100 percent (5/5), round-trip min/avg/max — 2/4/11 ms 


6.23 网 络 连通 性 测试 结果 


为 了 进一步 探讨 动态 路 由 协议 RIPV2 ,设计 网 络 拓扑 如 图 6. 24 所 示 , 接 下 来 探讨 该 网 络 
拓扑 下 的 动态 路 由 协议 RIPv2 配置 过 程 。RIPv2 网 络 拓扑 图 中 的 设备 IP 地 址 规划 见 表 6. 3。 


2960-24TT， 
Switch2 


172.30.1.0/24 


2811 2960-24TT 


CI i R3 Switch3 PC3 
PC-PT 2960-24TT Loopback0: 172.30.110.0/24 
PCO Switchl 72.30.200.16/28 
Loopback2: 172.30.200.32/28 
图 6.24 RIPv2 配置 网 络 拓扑 图 
表 6.3 RIPv2 网 络 拓扑 图 中 的 设备 IP 地 址 规划 
设 备 端口 IP db ht 子 网 掩 码 默认 网 关 
Fa0/0 172. 30. 1. 1 255. 255. 255. 0 
R1 Fa0/1 172. 30. 2. 1 255. 255. 255.0 
80/0/0 209. 165. 200. 230 255. 255. 255. 252 
Fa0/0 10.1.0.1 255. 255. 0. 0 
R2 80/0/0 209. 165. 200. 229 255. 255. 255. 252 
S0/0/1 209. 165. 200. 233 255. 255. 255. 252 
Fa0/0 172. 30. 100. 1 255.255. 255.0 
80/0/1 209. 165. 200. 234 255. 255. 255. 252 
R3 Loopback0 172. 30. 110. 1 255. 255. 255. 0 
Loopback1 172. 30. 200. 17 255. 255. 255. 240 
Loopback2 172. 30. 200. 33 255. 255. 255. 240 
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续 表 
设 备 端口 IP 地 址 子 网 掩 码 默认 网 关 
PCO 网 卡 172. 30. 2. 10 255. 255. 255. 0 172.30.2.1 
PC1 网 卡 172. 30. 1. 10 255. 255. 255. 0 172.30. 1.1 
PC2 网 卡 10.1.1.10 255. 255. 0. 0 30. 1.1.1 
PC3 网 卡 172. 30. 100. 10 255. 255. 255. 0 172. 30. 100. 1 


拓扑 图 中 所 示 的 网 络 包含 一 个 不 连续 网 络 172. 30. 0. 0。 该 网 络 已 使 用 VLSM 划分 子 
网 。172. 30. 0. 0 的 子 网 在 物理 上 和 人 逻辑 上 被 至 少 一 个 其 他 有 类 网 络 或 主 网 隔 开 ,在 本 例 
中 ,分 隔 它们 的 是 两 个 串 行 网 络 209. 165. 200. 228/30 和 209. 165. 200. 232/30。 当 采用 的 
路 由 协议 包含 的 信息 不 足以 区 分 单个 子 网 时 ,可 能 会 出 现 问 题 。RIPv2 是 一 种 无 类 路 由 协 
议 ,可 以 在 路 由 更 新 中 提供 子 网 掩 码 信息 。 这 样 ,VLSM 子 网 信息 就 能 通过 网 络 传播 了 。 


路 由 器 R1 的 基本 配置 如 下 。 


Router (config)#hostname Rl 

R1 (config)# interface fastEthernet 0/0 

R1 (config- if)# ip address 172.30.1.1 255.255.255.0 
Rl (config- if)# no shu 

Rl (config- if)#exit 

Rl (config)# interface fastEthernet 0/1 

R1 (config- if)f ip address 172.30.2.1 255.255.255.0 
Rl (config- if)# no shu 

Rl(config-if)fexit 

R1 (config)f interface serial 0/0/0 

R1 (config- if)# ip address 209.165.200.230 255.255.255.252 
R1(config- if)# no shu 

R1(config-if)$ clock rate 64000 


路 由 器 R2 基本 配置 如 下 : 


Router (config)#hostname R2 

R2 (config)# interface fastEthernet 0/0 

R2 (config- if)# ip address 10.1.0.1 255.255.0.0 

R2 (config- if)#no shu 

R2(config-if)ftexit 

R2 (config)f interface serial 0/0/0 

R2(config-if)£ip address 209.165.200.229 255.255.255.252 
R2 (config- if)#no shu 

R2(config-if)fexit 

R2 (config)f interface serial 0/0/1 

R2(config-if)£ip address 209.165.200.233 255.255.255.252 
R2 (config-if)fno shu 

R2 (config-if)f clock rate 64000 


// 路 由 器 命名 

// 进 入 路 由 器 端口 Fa0/0 

// 为 路 由 器 端口 配置 IP 地 址 
// 激 活 端口 Fa0/0 
// 退 出 端口 Fa0/0 

// 进 入 路 由 器 端口 Fa0/1 

// 为 端口 配置 TP 地 址 

// 激 活 端 口 Fa0/1 
// 退 出 端口 

// 进 入 端口 s0/0/0 
// 端 口 配置 IP 地 址 
// 激 活 端口 

// 为 DCE 端的 端口 配置 时 钟 频率 


// 为 路 由 器 命名 

// 进 入 路 由 器 Fao/0 端口 

// 为 路 由 器 端口 配置 ITP 地 址 
// 激 活 端口 

// 退 出 

// 进 入 路 由 器 s0/0/0 端口 
// 配 置 IP 地 址 

// 激 活 端口 

// 退 出 

// 进 入 路 由 器 s0/o/0 端口 
// 为 端口 配置 re bk 

// 激 活 端 口 

// 为 DCE 端的 端口 配置 时 钟 频率 
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路 由 器 R3 基本 配置 如 下 : 

Router (config)#hostname R3 // 为 路 由 器 命名 

R3 (config) # interface fastEthernet 0/0 // 进 入 路 由 器 Fa0/0 端口 
R3(config- if)#ip address 172.30.100.1 255.255.255.0 // 为 端口 配置 IT 地址 
R3 (config- if)#no shu // 激 活 端口 
R3(config- if)#exit // 退 出 

R3 (config)# interface serial 0/0/1 // 进 入 端口 s0/0/1 

R3 (config- if)# ip address 209.165.200.234 255.255.255.252 // 配 置 IT 地址 

R3 (config- if)#no shu // 激 活 端口 
R3(config-if)fexit // 退 出 

R3 (config) # interface loopback 0 // 进 入 环 回 端口 0 
R3(config- if)# ip address 172.30.110.1 255.255.255.0 // 配 置 IP 地 址 
R3(config- if)#exit // 退 出 

R3 (config) # interface loopback 1 // 进 入 环 回 端口 1 

R3 (config- if)# ip address 172.30.200.17 255.255.255.240 // 配 置 ITP 地 址 
R3(config-if)fexit / B5B 

R3 (config)# interface loopback 2 // 进 入 环 回 端口 2 

R3 (config- if)# ip address 172.30.200.33 255.255.255.240 // 配 置 IP 地 址 

路 由 器 R1 启用 RIP 协议 。 

R1 (config)# router rip // 启 用 动态 路 由 RIP 


R1 (config- router) # network 172.30.0.0 

// 宣 告 RIP 要 通告 的 网 络 ,在 该 网 络 端口 上 启用 RIP 进程 
R1 (config- router) # network 209.165.200.0 

// 宣 告 RIP 要 通告 的 网 络 ,在 该 网 络 端口 上 启用 RIP 进程 


路 由 器 R2 启用 动态 路 由 协议 RIP。 


R2 (config)# router rip // 启 用 动态 路 由 协议 RIP 
R2 (config- router) # network 209.165.200.0 

// 宣 告 RIP 要 通告 的 网 络 ,在 该 网 络 端口 上 启用 RIP 进程 
R2 (config- router)#network 10.0.0.0 

// 宣 告 RIP 要 通告 的 网 络 , 在 该 网 络 端口 上 启用 RIP 进程 
R2 (config- router)#network 209.165.200.0 

// 宣 告 RIP 要 通告 的 网 络 , 在 该 网 络 端口 上 启用 RIP 进程 


路 由 器 R3 启用 动态 路 由 协议 RIP。 


R3 (config)# router rip // 启 用 动态 路 由 协议 RIP 
R3 (config- router)#network 209.165.200.0 

// 宣 告 RIP 要 通告 的 网 络 ,在 该 网 络 端口 上 启用 RIP 进程 
R3 (config- router)# network 172.30.0.0 

// 宣 告 RIP 要 通告 的 网 络 ,在 该 网 络 端口 上 启用 RIP 进程 


路 由 器 默认 启用 动态 路 由 协议 RIPv ,通过 命令 查看 路 由 器 的 路 由 表 。 
路 由 器 R1 的 路 由 表 显 示 结 果 如 下 。 
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Rl# show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 
D -EIGRP, EX —EIGRP external, O —OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS-IS level-1, L2 -IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U - per-user static route, o -ODR 
P -periodic downloaded static route 
Gateway of last resort is not set 
R 10.0.0.0/8 [120/1] via 209.165.200.229, 00:00:00, Serial0/0/0 
172.30.0.0/24 is subnetted, 2 subnets 


c 172.30.1.0 is directly connected, FastEthernet0/O 

c 172.30.2.0 is directly connected, FastEthernet0/1 
209.165.200.0/30 is subnetted, 2 subnets 

e 209.165.200.228 is directly connected, Serial0/0/0 

R 209.165.200.232 [120/1] via 209.165.200.229, 00:00:00, Serial0/0/0 

RH 


通过 路 由 表 可 以 看 出 ,路 由 信息 不 完整 ,网络 不 能 实现 互联 互通 。 
路 由 器 R2 的 路 由 表 显 示 结 果 如 下 。 


R2# show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1l, N2 -OSPF NSSA external type 2 
El -OSPF external type 1l, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll - IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U - per- user static route, o -ODR 
P - periodic downloaded static route 
Gateway of last resort is not set 
10.0.0.0/16 is subnetted, 1 subnets 
e 10.1.0.0 is directly connected, FastEthernet0/0 
R 172.30.0.0/16 [120/1] via 209.165.200.230, 00:00:12, Serial0/0/0 
[120/1] via 209.165.200.234, 00:00:27, Serial0/0/1 
209.165.200.0/30 is subnetted, 2 subnets 
c 209.165.200.228 is directly connected, Serial0/0/0 
C 209.165.200.232 is directly connected, Serial0/0/1 


查看 路 由 器 R2 的 路 由 表 , 结 果 显 示 路 由 信息 不 完整 ,网 络 不 能 实现 互联 互通 。 
路 由 器 R3 的 路 由 表 显 示 结 果 如 下 。 


R3# show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M mobile, B -BGP 
D —EIGRP, EX —EIGRP external, O —OSPF, IA -OSPF inter area 


N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
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El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll-IS-IS level-1, L2 -IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U -per-user static route, o -ODR 
P -periodic downloaded static route 
Gateway of last resort is not set 
R — 10.0.0.0/8 [120/1] via 209.165.200.233, 00:00:20, Serial0/0/1 
172.30.0.0/16 is variably subnetted, 4 subnets, 2 masks 


C 172.30.100.0/24 is directly connected，FastEthernet0/0 

c 172.30.110.0/24 is directly connected, Loopback0 

c 172.30.200.16/28 is directly connected, Loopbackl 

C 172.30.200.32/28 is directly connected, Loopback2 
209.165.200.0/30 is subnetted, 2 subnets 

R 209.165.200.228 [120/1] via 209.165.200.233, 00:00:20, Serial0/0/1 

e 209.165.200.232 is directly connected, Serial0/0/1 

R3K 


查看 路 由 器 R3 的 路 由 表 , 结 果 显示 路 由 信息 不 完整 ,网 络 不 能 实现 互联 互通 。 
由 于 动态 路 由 协议 RIPv2 能 够 支持 不 连续 子 网 以 及 无 类 域 间 路 由 ,因此 启用 路 由 器 动 
态 路 由 协议 RIP 的 版 本 2, 并 取消 自动 汇总 功能 ,能 实现 该 网 络 的 互联 互通 ,具体 配置 如 下 。 


R1 (config- router)# version 2 // 启 动 路 由 器 R1 动态 路 由 协议 RIP 版 本 2 
R1 (config- router) # no auto- summary // 取 消 自动 汇总 功能 
R2 (config- router)# version 2 // 启 动 路 由 器 R2 动态 路 由 协议 RIP 版 本 2 
R2 (config- router)# no auto- summary // 取 消 自动 汇总 功能 
R3 (config- router)# version 2 // 启 动 路 由 器 R3 动态 路 由 协议 RIP 版 本 2 
R3 (config- router) # no auto- summary // 取 消 自动 汇总 功能 


再 次 查看 路 由 器 RI 的 路 由 表 如 下 。 


Rl# show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP. 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U -per-user static route, o -ODR 
P -periodic downloaded static route 
Gateway of last resort is not set 
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 
R 10.0.0.0/8 [120/1] via 209.165.200.229, 00:01:52, Serial0/0/0 
10.1.0.0/16 [120/1] via 209.165.200.229, 00:00:00, Serial0/0/0 
172.30.0.0/16 is variably subnetted, 6 subnets, 2 masks 


w 


172.30.1.0/24 is directly connected, FastEthernet0/0 
172.30.2.0/24 is directly connected, FastEthernet0/1 
172.30.100.0/24 [120/2] via 209.165.200.229, 00:00:00, Serial0/0/0 
172.30.110.0/24 [120/2] via 209.165.200.229, 00:00:00, Serial0/0/0 


CEE E 人 


143 


网 络 互联 技术 与 实践 


144 
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c 
R 


RH 


172.30.200.16/28 [120/2] via 209.165.200.229, 00:00:00, Serial0/0/0 

172.30.200.32/28 [120/2] via 209.165.200.229, 00:00:00, Serial0/0/0 
209.165.200.0/30 is subnetted, 2 subnets 

209.165.200.228 is directly connected, Serial0/0/0 

209.165.200.232 [120/1] via 209.165.200.229, 00:00:00, Serial0/0/0 


查看 路 由 器 R2 的 路 由 表 如 下 。 


R2# show ip route 
Codes: C - connected, S - static, I -~ IGRP, R - RIP, M - mobile, B -BGP 


D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 

N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 

El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 

i -IS-IS, Ll - IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U - per- user static route, o -ODR 

P -periodic downloaded static route 


Gateway of last resort is not set 


10.0.0.0/16 is subnetted, 1 subnets 


€ 10.1.0.0 is directly connected, FastEthernet0/0 
172.30.0.0/16 is variably subnetted, 7 subnets, 3 masks 
R 172.30.0.0/16 [120/1] via 209.165.200.234, 00:02:01, Serial0/0/1 
[120/1] via 209.165.200.230, 00:02:02, Serial0/0/0 
R 172.30.1.0/24 [120/1] via 209.165.200.230, 00:00:12, Serial0/0/0 
R 172.30.2.0/24 [120/1] via 209.165.200.230, 00:00:12, Serial0/0/0 
R 172.30.100.0/24 [120/1] via 209.165.200.234, 00:00:09, Serial0/0/1 
R 172.30.110.0/24 [120/1] via 209.165.200.234, 00:00:09, Serial0/0/1 
R 172.30.200.16/28 [120/1] via 209.165.200.234, 00:00:09, Serial0/0/1 
R 172.30.200.32/28 [120/1] via 209.165.200.234, 00:00:09, Serial0/0/1 
209.165.200.0/30 is subnetted, 2 subnets 
e 209.165.200.228 is directly connected, Serial0/0/0 
e 209.165.200.232 is directly connected, Serial0/0/1 
R2# 
查看 路 由 器 R3 的 路 由 表 如 下 。 


R3# show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 


D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 

N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 

El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 

i -IS-IS, Ll - IS- IS level-1, L2 - IS IS level-2, ia - IS- IS inter area 
* -candidate default, U - per-user static route, o -ODR 

P -periodic downloaded static route 


Gateway of last resort is not set 


R 


10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 
10.0.0.0/8 [120/1] via 209.165.200.233, 00:02:31, Serial0/0/1 
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R 10.1.0.0/16 [120/1] via 209.165.200.233, 00:00:13, Serial0/0/1 

172.30.0.0/16 is variably subnetted, 6 subnets, 2 masks 
172.30.1.0/24 [120/2] via 209.165.200.233, 00:00:13, Serial0/0/1 
172.30.2.0/24 [120/2] via 209.165.200.233, 00:00:13, Serial0/0/1 
172.30.100.0/24 is directly connected, FastEthernet0/0 
172.30.110.0/24 is directly connected, Loopback0 
172.30.200.16/28 is directly connected, Loopbackl 


ananaw nm 


172.30.200.32/28 is directly connected, Loopback2 
209.165.200.0/30 is subnetted, 2 subnets 
R 209.165.200.228 [120/1] via 209.165.200.233, 00:00:13, Serial0/0/1 
e 209.165.200.232 is directly connected, Serial0/0/1 
R3# 


结果 显示 ,3 台 路 由 器 的 路 由 表 是 全 的 ,基本 能 够 判定 整个 网 络 是 互联 互通 的 。 

2. RIPv2 手动 汇总 配置 

默认 情况 下 ,RIPvl 和 RIPv2 路 由 协议 都 会 在 主 类 网 络 的 边界 汇总 ,在 实际 网 络 互联 
系统 中 可 以 通过 关闭 RIPv2 自动 汇总 功能 ,以 便 RIPv2 在 更 新 路 由 信息 时 包含 子 网 掩 码 信 
息 以 支持 不 连续 子 网 等 网 络 互 联 问题 。RIPv2 还 支持 手动 汇总 功能 ,以 减轻 路 由 表 的 大 小 。 
下 面 以 一 个 实例 说 明 RIPv2 的 这 一 功能 ,这 里 需要 注意 : 由 于 Packet tracer 仿真 软件 不 支 
持 手动 汇总 命令 ,因此 该 实验 可 以 在 GNS3 或 者 EVE-NG 仿真 环境 下 完成 。 下 面 在 GNS3 
环境 下 完成 该 实验 的 网 络 拓 扑 , 拓 扑 图 如 图 6. 25 所 示 。 


lo0: 192.168.1.1/28 R1 R2 R3 0: 192.168.1.129/25 


lol: 192.168.1.17/28 12.1.1.024 23.1.1.1/24 
102: 192.168.1.33/28 S10 Sm e si 


lo3: 192.168.1.49/28 2112/4 23.1.1204 
图 6.25 实现 手动 汇总 网 络 拓扑 图 


配置 过 程 如 下 。 
首先 进行 路 由 器 基本 配置 ,配置 3 台 路 由 器 端口 的 网 络 地 址 参数 。 
路 由 器 R1 的 配置 如 下 。 


Router (config)#hostname Rl 

R1 (config)f interface loopback 0 

Rl (config- if)# ip address 192.168.1.1 255.255.255.240 
Rl(config-if)fexit 

R1 (config)# interface loopback 1 

R1 (config- if)# ip address 192.168.1.17 255.255.255.240 
Rl(config-if)fexit 

R1 (config)# interface loopback 2 

Rl(config-if)fip address 192.168.1.33 255.255.255.240 
Rl(config-if)fexit 

R1 (config) # interface loopback 3 

R1 (config- if)# ip address 192.168.1.49 255.255.255.240 
Rl(config-if)fexit 
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R1 (config)# interface serial 1/0 

R1 (config-if)fip address 12.1.1.1 255.255.255.0 
R1 (config-if)fno shu 

R1 (config-if)fclock rate 64000 


路 由 器 R2 的 配置 如 下 。 


Router (config)#hostname R2 

R2 (config)# interface serial 1/0 

R2 (config- if)# ip address 12.1.1.2 255.255.255.0 
R2 (config- if)#no shu 

R2 (config- if)#exit 

interface serial 1/1 

R2 (config- if)# ip address 23.1.1.1 255.255.255.0 
R2 (config- if)# clock rate 64000 

R2 (config- if)#no shu 


路 由 器 R3 的 配置 如 下 。 


Router (config)#hostname R3 

R3 (config)# interface serial 1/0 

R3(config- if)# ip address 23.1.1.2 255.255.255.0 
R3(config- if)# no shu 

R3(config-if)fexit 

R3(config)f interface loopback 0 

R3 (config- if)# ip address 192.168.1.129 255.255.255.128 
R3(config-if)fexit 


接 下 来 配置 3 台 路 由 器 动态 路 由 协议 RIPv2 ,并 通过 network 命令 宣告 RIP 要 通告 的 
网 络 ,以 及 通告 网 络 的 端口 。 为 了 支持 不 连续 子 网 网 络 互 联 问题 ,需要 关闭 3 台 路 由 器 的 自 
动 汇 总 功能 。 

路 由 器 R1 的 配置 如 下 。 


Rl (config)# router rip 

Rl (config- router)# version 2 

Rl (config- router)# no auto- summary 

Rl (config- router)# network 192.168.1.0 


Rl (config- router)£ network 12.0.0.0 
路 由 器 R2 的 配置 如 下 。 


R2 (config)# router rip 

R2 (config- router)#version 2 

R2 (config- router) #no auto- summary 
R2 (config- router)# network 12.0.0.0 
R2 (config- router)# network 23.0.0.0 
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路 由 器 R3 的 配置 如 下 


R3 (config)# router rip 

R3 (config- router)# version 2 

R3 (config- router)# no auto- summary 
R3 (config- router)# network 23.0.0.0 


R3 (config- router)# network 192.168.1.0 


EF 3 台 路 由 器 的 路 由 表 ( 注 意 ,RIP 路 由 的 收敛 时 间 较 长 ,通常 需要 3 一 4 
分 钟 ,这 个 过 程 不 影响 网 络 连 通 性 ,图 6. 26 所 示 经 过 一 段 时 间 等 待 后 ,Rl 路 由 器 23. 

0/8 处 于 possibly down 状态 ,图 6. 27 所 示 R3 路 由 器 的 12. 0. 0. 0/8 网 络 处 于 iid 
,路 由 收敛 过 程 是 :化 的 ， 图 片 截取 某 个 状态 下 的 情况 )。 


down 状态 


上 Dynamips(0): R1, Console port E 口 x| 


Æ 6.26 RIl 路 由 器 RIP 路 由 收敛 过 程 


a Dynamips(2): R3, Console port n x 


图 6.27 R3 路 由 器 RIP 路 由 收敛 过 程 
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收敛 后 的 路 由 器 RI 的 路 由 表 如 图 6. 28 所 示 ,路 由 器 R2 的 路 由 表 如 图 6. 29 所 示 ,路 
由 器 R3 的 路 由 表 如 图 6. 30 所 示 。 


i Dynamips(0): R1, Console port 一 口 X 


图 6.28 收敛 后 的 RI 路 由 器 的 路 由 表 


iB Dynamips(1): R2, Console port - 口 x 


图 6.29 收敛 后 的 R2 路 由 器 的 路 由 表 


RIPv2 路 由 协议 关闭 自动 汇总 功能 ,可 以 支持 不 连续 子 网 的 同时 ,也 带 来 路 由 表 变 大 的 
现状 ,路 由 器 R2 以 及 路 由 器 R3 都 学 到 了 路 由 器 RI 直 连 的 4 个 网 络 的 路 由 ,为 了 解决 这 个 
问题 ,在 路 由 器 R1 的 外 出 端口 上 对 多 条 外 出 网 络 执行 手动 汇总 ,最 终 减 轻 路 由 器 路 由 表 的 
大 小 (注意 ,汇总 是 在 路 由 的 外 出 端口 上 完成 的 ,要 是 有 多 条 外 出 端口 ,就 需要 在 每 个 端口 上 
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iB Dynamips(2): R3, Console port 一 口 x 


图 6.30 收敛 后 的 R3 路 由 器 的 路 由 表 


执行 手动 汇总 )， 
在 路 由 器 RI 外 出 端口 S1/0 上 执行 手动 ; 


图 6.31 自动 汇总 配置 


,配置 如 图 6. 31 Bras 


待 路 由 收敛 后 (差不多 3 一 4 分 钟 ) 查 看 路 由 器 R2 和 R3 路 由 表 , 结 果 只 能 看 到 汇总 
后 的 一 条 路 由 条 目 , 具 体 如 图 6. 32 以 及 图 6. 33 所 示 


图 6.32 路 由 器 R2 汇总 后 的 路 由 表 
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图 6.33 路 由 器 R3 汇总 后 的 路 由 表 


3. RIPv2 高 级 配置 
1) 路 由 验证 配置 
如 图 6. 34 所 示 ,配置 路 由 器 R1 和 R2, 使 用 动态 


路 由 器 协议 RIPv2 使 之 互联 互通 。 


RI R2 
1o0: 192.168.1.1/25 g- 24 B lo: 192.168.1.129/25 
SI/0 SVO 
12.1.1.2/24 


图 6.34 路 由 验证 网 络 拓扑 
R1 的 基本 配置 如 下 


R1 (config)# interface loopback 0 

R1 (config- if)# ip address 192.168.1.1 255.255.255.128 
Rl (config- if)#exit 

R1 (config)# interface serial 1/0 

Rl(config- if)# ip address 12.1.1.1 255.255.255.0 
R1 (config- if)# no shu 

R1 (config- if)# clock rate 64000 

Rl (config-if)fexit 

R1 (config)# router rip 

R1 (config- router)# version 2 

R1 (config- router)# network 12.0.0.0 

R1 (config- router)f£net 192.168.1.0 


R1 (config- router)fexit 
R2 的 基本 配置 如 下 。 


R2 (config)# interface loopback 0 

R2 (config- if)# ip address 192.168.1.129 255.255.255.128 
R2 (config-if)fexit 

R2 (config)# interface serial 1/0 

R2 (config- if)# ip address 12.1.1.2 255.255.255.0 
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R2 (config- if)# no shu 

R2 (config- if)#exit 

R2 (config)# router rip 

R2 (config- router)# version 2 


R2 (config- router)# network 192.168.1.0 


R2 (config- router) #network 12.0.0.0 


通过 查看 路 由 器 RI 的 路 由 表 ( 图 6. 35) 和 路 由 器 R2 的 路 由 表 ( 图 6. 36) ,通过 RIP 学 
习 路 由 ,实现 网 络 互联 互通 。 


图 6.35 路 由 器 Rl 的 路 由 表 


图 6.36 路 由 器 R2 的 路 由 表 


接 下 来 配置 RIPv2 路 由 协议 验证 ,首先 配置 路 由 器 RI 


R1 (config)# key chain tdp // 创 建 密 钥 链 TDP 
R1 (config- keychain)# key 1 // 配 置 密 钥 链 中 的 key 1 
R1 (config- keychain- key) # key- string wenzheng // 配 置 密码 串 


R1 (config- keychain- key)#exit 

R1 (config- keychain)£exit 

R1 (config)# interface serial 1/0 

Rl (config- if)# ip rip authentication key- chain tdp // 在 与 R2 相连 的 串口 中 使 用 密 钥 
// 链 TDP 进行 验证 

R1 (config- if)# ip rip authentication mode md5 // 使 用 MD5 验证 
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配置 好 R1 验证 后 ,经 过 
128 处 于 possibly down 状态 ， 


钟 后 路 由 192. 168. 1. 
失 , 如 图 6. 38 所 示 。 


- 段 时 间 路 由 器 R1 的 路 由 表 发 生 了 变化 ,如 图 6. 37 所 示 ,3 分 
经 过 60 秒 后 ,该 路 由 从 路 由 表 中 消 


图 6.37 


路 由 器 RI 的 路 由 表 1 


图 6.38 路 由 器 RI 的 路 由 表 2 


同样 ,配置 路 由 器 R2 


R2 (config)# key chain tdp 
R2 (config- keychain)#key 1 

R2 (config- keychain- key)# key- string wenzheng 
R2 (config- keychain- key)4 exit 

R2 (config- keychain) #exit 

R2 (config)# interface serial 1/0 


R2 (config- if)# ip rip authentication key- chain tdp 


R2 (config- if)# ip rip authentication mode md5 
配置 好 R2 验证 后 ,经 过 短 时 间 的 等 待 
. 36 ,验证 成 功 ,整个 网 络 互 联 互通 

2) RIPv1 与 RIPv2 混合 配置 


zm 


,两 台 路 由 器 的 路 由 表 恢 复 


// 创 建 密 钥 链 TDP 
// 配 置 密 钥 链 中 的 key 1 
// 配 置 密码 串 


// 在 与 Ri 相连 的 串口 中 使 用 密 钥 

// 链 TDP 进行 验证 

// 使 用 Mp5 验 证 

成 图 6.35 以 及 


如 图 6. 39 所 示 ,将 路 由 器 RI 配置 成 RIPvl 协议 ,将 路 由 器 R2 配置 成 RIPv2 协议 , 探 
索 在 一 个 网 络 中 既 有 RIPv1, 又 有 RIPv2 时 的 情况 ,具体 配置 过 程 如 下 。 
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RI 12.1.1.1/24 R2 
lo0: 192.168.1.1/24 QQ—7 > 192.168.2.1/24 
Svo 
12.1.1.2/24 


图 6.39 RIPv1 与 RIPv2 混合 网 络 拓扑 


配置 路 由 器 R1 如 下 。 


R1 (config)# interface loopback 0 

R1 (config- if)# ip address 192.168.1.1 255.255.255.0 
RI (config-if)fexit 

RI (config)# interface serial 1/0 

R1 (config- if)# ip address 12.1.1.1 255.255.255.0 

R1 (config- if)# no shu 

RI (config- if)# clock rate 64000 

RI (config-if)fexit 

R1 (config)# router rip // 默 认 启用 RIPv1 
R1 (config- router) #network 192.168.1.0 

R1 (config- router) # network 12.0.0.0 


配置 路 由 器 R2 如 下 。 


R2 (config)# interface loopback 0 

R2 (config- if)# ip address 192.168.2.1 255.255.255.0 
R2 (config- if)# no shutdown 

R2(config-if)texit 

R2 (config)# interface serial 1/0 

R2 (config- if)# ip address 12.1.1.2 255.255.255.0 

R2 (config- if)f no shu 

R2(config-if)fexit 

R2 (config)# router rip 

R2 (config- router)£ version 2 // 开 启 了 RIPv2 
R2 (config- router)# network 192.168.2.0 


R2 (config- router)# network 12.0.0.0 


查看 R1 R2 的 路 由 表 , 路 由 器 RI 的 路 由 表 如 图 6. 40 所 示 , 路 由 器 R2 的 路 由 表 如 
图 6. 41 所 示 。 


图 6.40 路 由 器 Rl 的 路 由 表 
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图 6.41 路 由 器 R2 的 路 由 表 


从 路 由 表 中 可 以 看 出 ,路 由 器 RI 获得 了 路 由 器 R2 环 回 口 192. 168. 2. 0 网 络 的 路 由 ， 
但 路 由 器 R2 没有 获得 路 由 器 RI 环 回 口 192. 168. 1. 0 网 络 的 路 由 ,R2 学 不 到 RI 的 路 由 信 
息 的 原因 是 什么 ?分 别 查看 R1 和 R2 的 协议 情况 ,RI1 路 由 器 的 协议 情况 如 图 6. 42 所 示 。 
R2 路 由 器 的 协议 情况 如 图 6. 43 所 示 


图 6.42 路 由 器 RI 的 协议 情况 


图 6.43 路 由 器 R2 的 协议 情况 
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从 图 6.42 可 以 看 出 ,路 由 器 RI 默认 发 送 和 接收 RIP 版 本 的 情况 是 “send version 1. 
receive any version”。 也 就 是 说 ,R1 发 送 版 本 1 的 更 新 ,接收 任何 版 本 (V1,V2) 的 更 新 。 路 
由 器 R1 配置 的 是 RIPv1, 而 路 由 器 R2 配置 的 是 RIPv2, 当 R2 发 送 v2 版 本 的 更 新 时 ,R1 
照样 可 以 接收 ,这 就 是 R1 为 什么 能 够 学 习 到 路 由 器 R2 环 回 口 的 原因 。 

而 路 由 器 R2 上 的 RIPv2 协议 默认 发 送 和 接收 的 协议 为 “send version 2, receive 
version 2”, 也 就 是 发 送 版 本 2 以 及 只 能 接收 版 本 2, 因 此 路 由 器 RT 发 送 过 来 的 版 本 1 的 更 
新 直接 被 忽略 了 。 

若 要 网 络 互通 ,采取 的 办 法 


:; 在 路 由 器 R1 的 出 端口 上 配置 发 送 版 本 1 以 及 版 本 2 的 


更 新 ,或 者 在 路 由 器 R2 的 外 出 端口 上 配置 接收 版 本 1 和 版 本 2 的 更 新 。 下 面 分 别 说 明 这 
两 种 方法 。 
方法 一 : 在 路 由 器 RI 出 端口 上 发 版 本 1 以 及 版 本 2 的 更 新 ,配置 如 图 6. 44 所 示 。 


图 6.44 更 改 发 送 RIP 版 本 信息 


路 由 器 RI 的 路 由 表 如 图 6. 45 所 示 。 路 由 器 R2 的 路 由 表 如 图 6. 46 所 示 


图 6.45 路 由 器 RI 的 路 由 表 


图 6.46 路 由 器 R2 的 路 由 表 


方法 二 : 在 R2 的 外 出 端口 上 配置 接收 版 本 1 和 版 本 2 的 更 新 。 首 先 清除 方法 一 的 配 
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置 ,清除 配 置 如 图 6.47 所 示 。 经 过 一 段 时 间 更 新 后 ,路 由 器 R2 上 的 192. 168. 1. 0/24 路 由 
信息 不 存在 了 。 
在 路 由 器 R2 的 外 出 端口 上 配置 接收 版 本 1 和 版 本 2 的 更 新 ,配置 如 图 6. 48 所 示 。 


图 6.47 路 由 器 R 发 送 版 本 信息 图 6.48 更 改 接收 RIP 版 本 信息 
恢复 默认 情况 
经 过 一 段 时 间 更 新 后 ,路 由 器 R2 的 路 由 表 中 出 现 了 到 路 由 器 RI 环 回 口 192. 169. 1. 0/ 
24 的 路 由 信息 ,如 图 6. 49 所 示 ， 


图 6.49 路 由 器 R2 的 路 由 表 


6.2 OSPF 路 由 技术 


6.2.1 OSPF 简介 


开放 最 短路 径 优先 (Open Shortest Path First, OSPF) 是 一 个 内 部 网 关 协 UNE rior 
Gateway Protocol. IGP) ,用 于 在 单一 自治 系统 (Autonomous System,AS) 内 决策 路 由 ,是 对 
链 路 状态 路 由 协议 的 一 种 实现 ,采用 的 算法 斯 特 拉 算法 (Dijkstra) ,用 来 计算 最 短路 
径 树 。Dijkstra 算法 通常 称 为 SPF( 最 短路 径 优先 ) 算 法 ,但 事 ? 最 短路 径 优先 是 所 有 路 
由 算法 追求 的 共同 目标 ,与 RIP 路 由 协议 相 比 ,OSPF 属于 —"— 态 协议 ,而 RIP 属于 距离 
矢量 协议 。 

OSPF 链 路 状态 路 由 协议 克服 了 距离 矢量 路 由 协议 RIP 的 许 多 缺陷 ， 具体 如 下 。 

(1) OSPF 不 再 采用 跳 数 的 概念 ,而 是 EM 1 i died 率 、 拥 塞 状态 .往返 时 间 、 可 靠 性 
等 实际 链 路 的 负载 能 力 定 出 路 由 的 代价 ,同时 选择 和 最 优 路 由 并 允许 到 达 同 一 目的 地 址 
的 多 条 路 由 ,从 而 实现 网 络 负荷 均衡 

(2) OSPF 支持 不 同 服务 类 型 的 不 同 代价 ,从 而 可 以 实现 不 同 服务 质量 (Quality of 
Service, QoS) 的 路 由 服务 

(3) OSPF 路 由 器 不 再 交换 路 由 表 , 而 是 同步 各 路 由 器 对 网 络 状态 的 认识 , 即 链 路 状态 
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数据 库 , 然 后 通过 Dijkstra 最 短路 径 算法 计算 出 到 达 网 络 中 各 目的 地 址 的 最 优 路 由 。 这 样 ， 
OSPF 路 由 器 间 不 需要 定期 交换 大 量 数据 ,而 只 是 保持 着 一 种 连接 ,一 旦 有 链 路 状态 发 生变 
化 时 , 才 通 过 组 播 方式 对 这 一 变化 做 出 反应 ,这 样 不 但 减轻 了 系统 间 的 数据 负荷 ,而 且 达 到 
了 对 网 络 拓扑 的 快速 收敛 。 这 些 正 是 OSPF 强大 生命 力 和 应 用 潜力 的 根本 所 在 。 

表 6.4 所 示 为 OSPF 与 RIP 之 间 的 比较 。 


表 6.4 OSPF 和 RIP 之 间 的 比较 


特 征 OSPF RIPv2 RIPv1 
协议 类 型 链 路 状态 rm mom 
是 否 支持 无 类 路 由 选择 Æ 是 5 
是 否 支持 VLSM 是 是 A 
自动 汇总 否 是 是 
是 否 支持 手工 汇总 是 是 否 
是 否 支 持 不 连续 的 网 络 。 “| 是 是 否 
传播 路 由 的 方式 定期 发 送 组 播 定期 发 送 广播 
prm 带宽 P BU 
BOCHUM 无 限制 15 15 
汇率 速度 m " " 
是 否 验 证 对 等 体 的 身份 Æ 是 否 
是 否 要 求 将 网 络 分 层 是 (使 用 区 域 ) 否 ( 只 支持 扁平 网 络 ) | SOUHSRERAO 
更 新 事件 触发 定期 定期 
路 由 算法 Dijkstra Bellman-Ford Bellman-Ford 


在 进行 OSPF 路 由 方案 部 署 过 程 中 ,OSPF 的 各 种 区 域 的 理解 非常 重要 ,在 一 个 OSPF 
网 络 中 ,可 以 包括 多 种 区 域 , 如 主干 区 域 (backbone area? , AK Aii DX Js (stub area) 等 。OSPF 
网 络 中 的 区 域 是 以 区 域 ID 进行 标识 的 ,区 域 ID 为 0 的 区 域 规定 为 主干 区 域 。 

一 个 OSPF 互联 网 络 至 少 有 一 个 主干 区 域 , 其 ID 号 为 0. 0. 0.0, 也 可 称 为 区 域 0, 主 要 
工作 是 在 其 余 区 域 间 传 递 路 由 信息 。 图 6. 50 所 示 为 OSPF 层次 设计 示例 ,该 设计 能 够 最 大 
限度 地 减少 路 由 选择 表 条 目 , 并 将 拓扑 变化 带 来 的 影响 限制 在 当前 区 域内 。 


6.2.2 OSPF 工作 原理 


要 搞 清 楚 OSPF 是 如 何 发 现 、 传 播 和 选择 路 由 ,就 需要 充分 理解 OSPF 工作 原理 。 
OSPF 工作 过 程 大 致 分 为 3 个 步骤 : 初始 化 邻居 关系 、LSA 泛 洪 以 及 计算 SPF 树 。 


1. 初始 化 邻居 关系 


这 一 阶段 是 建立 邻居 关系 , 它 是 OSPF 操作 的 重要 组 成 部 分 。 初 始 化 OSPF 时 ,路 由 器 
将 为 它 分 配 内 存 , 包 括 分 配 用 于 维护 邻居 表 和 拓扑 表 的 内 存 。 确 定 配置 了 OSPF 的 端口 后 ， 


路 由 器 将 检查 这 些 端口 是 否 处 于 活动 状态 ,并 开始 发 送 Hello 分 组 。 
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图 6.50 OSPF 设计 示例 


Hello 分 组 用 于 发 现 邻居 、 建 立 邻 居 关 系 以 及 维护 与 其 他 OSPF 路 由 器 的 关系 。 在 支 
持 组 播 的 环境 中 ,定期 通过 每 个 启用 了 OSPF 的 端口 向 外 发 送 Hello 分 组 。 

Hello 分 组 的 目标 地 址 为 224. 0. 0.5 ,其 发 送 频率 取决 于 网 络 的 类 型 与 拓扑 。 在 广播 网 
络 和 点 到 点 网 络 中 ,Hello 分 组 的 发 送 时 间 间 隔 为 10s ,而 在 非 广播 网 络 和 点 到 多 点 网 络 中 ， 
Hello 分 组 发 送 的 时 间 间 隔 为 30s。 

2. LSA 泛 洪 

OSPF 使 用 链 路 状态 通告 (Link-State Advertise,LSA) 泛 洪 共 享 路 由 选择 信息 , 它 是 一 
种 OSPF 数据 分 组 ,包含 要 在 OSPF 路 由 器 之 间 共 享 的 链 路 状态 和 路 由 选择 信息 。LSA 分 
组 有 很 多 种 。OSFP 路 由 器 只 跟 与 它 建 立 了 邻居 关系 的 路 由 器 交换 LSA 分 组 。LSA 分 组 
用 于 更 新 和 维护 拓扑 数据 库 。 通 过 发 送 LSA 分 组 ,可 在 区 域内 所 有 OSPF 路 由 器 之 间 共 享 
包含 链 路 状态 数据 的 LSA 信息 。 网 络 拓扑 图 是 根据 LSA 更 新 创建 的 ,而 泛 洪 让 所 有 
OSPF 路 由 器 都 有 相同 的 网 络 拓扑 图 ,可 用 于 进行 SPF 计算 。 

为 实现 高 效 的 泛 洪 ,使 用 了 保留 的 组 播 地 址 224. 0.0.5。LSA 更 新 指出 了 拓扑 变化 ,其 
处 理 方式 稍 有 不 同 : 用 于 发 送 更 新 的 组 播 地 址 取决 于 网 络 类 型 。 表 6.5 列 出 了 用 于 LSA 
泛 洪 的 组 播 地 址 (点 到 多 点 网 络 使 用 邻接 路 由 器 的 单 播 IP 地 址 ) 。 


表 6.5 LSA 更 新 使 用 的 组 播 地 址 


网 络 类 型 组 播 地 址 
点 到 点 224.0.0.5 
广播 224.0.0.6 
点 到 多 点 


LSA 更 新 泛 洪 到 整个 网 络 后 ,每 个 接收 方 都 必须 确认 它 收 到 了 更 新 。 另 外 ,接收 方 还 
必须 对 LSA 更 新 进行 验证 。 
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3. 计算 SPF 树 

每 台 路 由 器 都 单独 计算 前 往 当前 区 域 中 每 个 网 络 的 最 佳 (最 短 ) 路 径 。 具 体 是 根据 拓扑 
数据 库 中 的 信息 进行 计算 的 ,使 用 的 算法 为 SPF 算法 。 通 过 该 算法 为 每 台 路 由 器 创建 一 棵 
树 , 树 根 为 当前 路 由 器 ,其 他 所 有 网 络 都 分 布 在 不 同 的 树枝 和 树叶 上 。 路 由 器 根据 创建 好 的 
最 短路 径 树 将 OSPF 路 由 插入 路 由 器 的 路 由 选择 表 中 。 

创建 好 的 树 只 包含 路 由 器 所 属 区 域 中 的 网 络 ,如果 路 由 器 包含 分 属 不 同 区 域 的 端口 ,将 
针对 每 个 区 域 单独 创建 一 棵 SPF 树 。 具 体 选择 最 佳 路 由 时 ,SPF 算法 考虑 的 一 个 重要 指标 
是 前 往 网 络 的 每 条 潜在 路 径 的 度量 值 或 成 本 。 注 意 ,SPF 并 不 计算 前 往 其 他 区 域 的 路 由 ， 
它 只 计算 本 区 域内 的 路 由 信息 。 

要 深入 理解 OSPF 中 SPF 算法 的 相关 概念 ,还 需要 理解 OSPF 度量 值 的 计算 方法 。 度 
量 值 也 称 为 成 本 ,SPF 树 中 的 每 个 出 站 端口 都 有 相关 联 的 成 本 。 整 条 路 径 的 成 本 为 路 径 上 
每 个 出 站 端口 的 成 本 之 和 。 由 于 RFC2338 没有 规定 成 本 的 计算 方法 ,思科 必须 使 用 自己 的 
方法 计算 每 个 OSPF 端口 的 成 本 。 思 科 使 用 的 计算 公式 很 简单 ,具体 是 : 用 105 除 以 带宽 ， 
其 中 “带宽 ”是 指 为 端口 配置 的 带宽 。 根 据 该 公式 ,100Mb/s 快速 以 太 网 端口 的 默认 OSPF 
成 本 为 1。 需要 指出 的 是 同 ,可 使 用 命令 ip ospf cost 修改 默认 值 。 成 本 的 取 值 范围 为 1 一 
65535。 另 外 ,成 本 是 赋 给 链 路 的 ,必须 在 相应 的 端口 上 进行 修改 。 相 应 端口 类 型 的 开销 值 
见 表 6. 6。 

表 6.6 相应 端口 类 型 的 开销 值 


端口 类 型 10*/ 带 宽 = 开销 
快速 以 太 网 及 以 上 速度 108/100 000 000b/s—1 
以 太 网 10/10 000 000b/s—10 
El 10/2048 000b/s—48 
Ti 10*/1 544 000b/s—64 
128kb/s 105/128 000b/s— 781 
64kb/s 10/64 000b/s—1562 
56kb/s 105/56 000b/s—1785 


从 路 由 器 到 目的 网 络 的 累计 开销 值 称 为 累计 开销 。 这 里 需要 注意 的 是 ,由 于 链 路 的 
默认 带宽 值 可 以 人 为 修改 ,因此 链 路 的 实际 带宽 很 可 能 不 同 于 默认 带宽 。 因 此 ,只 有 链 
路 的 默认 带宽 值 与 链 路 的 实际 带宽 值 相 匹配 时 ,计算 生成 的 路 由 表 才 能 体现 准确 的 最 佳 
路 径 信息 。 

通过 使 用 show interface 命令 可 以 查看 端口 所 用 的 带宽 值 .同一 条 链 路 的 两 端 端口 其 
带宽 值 应 该 配置 为 相同 。 可 以 通过 以 下 两 种 方式 修改 端口 的 开销 值 。 

CD 通过 修改 端口 的 带宽 修改 开销 ,命令 如 下 : Router (config-if) # bandwidth 
bandwidth-kbps。 

(2) 直接 修改 开销 值 ,命令 如 下 : Router(config-if) £ ip ospf cost cost 值 (1 一 65535) 。 

注意 : Cisco 公司 是 根据 带宽 计算 成 本 ,但 其 他 厂商 可 能 根据 别 的 指标 计算 链 路 的 成 
本 。 不 同 厂商 的 路 由 器 进行 连接 时 需要 调整 它们 的 成 本 ,因为 只 有 链 路 两 端 路 由 器 上 的 成 
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本 相同 ,OSPF 才能 正常 运行 。 

下 面 通过 实际 的 例子 探索 SPF 算法 的 具体 实现 过 程 。 

图 6. 51 所 示 为 5 个 路 由 器 R1、R2、R3、R4、R5 连接 的 互联 网 。 图 中 分 别 标注 了 端口 的 开 
销 值 。 不 同 网 络 之 间 的 开销 值 为 经 过 网 络 的 开销 求 和 ,如 路 由 器 R2LAN 内 的 主机 到 达 路 由 
器 R3LAN 内 的 主机 的 最 短路 径 为 : R2 到 R1(20) 十 R1 到 R3(5) 十 R3 到 LAN(2) —27, 


RSLAN 


2 RALAN 
图 6.51 SPF 算法 分 析 网 络 拓扑 图 


每 台 路 由 器 会 自行 确定 通 向 拓扑 中 每 个 目的 地 的 开销 。 表 6. 7 所 示 为 路 由 器 R5 分 别 
到 目的 地 RILAN、R2LAN、R3LAN 以 及 R4LAN 的 开销 。 


表 6.7 路 由 器 R5 分 别 到 RILAN、R2LAN、R3LAN 以 及 RALAN 的 开销 


目的 地 最 短路 径 开 销 
RILAN R5 到 R4, RES] R3, RESI RI 27 
R2LAN R5 到 R2 12 
R3LAN R5 到 R4, 再 到 R3 22 
RALAN R5 到 R4 12 

链 路 状态 路 由 过 程 的 具体 步骤 如 下 。 


CD 每 台 路 由 器 了 解 其 自身 的 链 路 ( 即 与 其 直 连 的 网 络 ) 。 

(2) 每 台 路 由 器 负责 “问候 ” 直 连 网 络 中 的 相 邻 路 由 器 。 

CD 每 台 路 由 器 创建 一 个 链 路 状态 数据 包 (Link-State Packets, LSP) ,其 中 包含 与 该 路 
由 器 直 连 的 每 条 链 路 的 状态 。 

(4) 每 台 路 由 器 将 LSP 泛 洪 到 所 有 邻居 ,然后 邻居 将 收 到 的 所 有 LSP 存储 到 数据 
库 中 。 

(5) 每 台 路 由 器 使 用 数据 库 构 建 一 个 完整 的 拓扑 图 ,并 计算 通 向 每 个 目的 网 络 的 最 佳 路 径 。 

如 图 6. 51 所 示 , 链 路 状态 路 由 OSPF 的 具体 分 析 过 程 如 下 。 
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CD 以 路 由 器 RI 为 例 ,该 路 由 器 了 解 其 自身 的 链 路 ( 即 与 其 直 连 的 网 络 ) ,结果 如 图 6. 52 
所 示 。 


链 路 2 : 链 路 3 : 

网 络 10.2.0.0/16 网 络 : 10.3.0.0/16 
IPAE: 10.2.0.1 人 Pp 地址: 10.3.0.1 
网 络 类 型 : mir 网 络 类 型 : mii 
链 路 开销 : 20 链 路 开销 : 5 
邻居 : R2 邻居 : R3 

链 路 1 : 链 路 4 : 

网 络 : 10.1.0.0/16 网 络 : 10.4.0.0/16 
JP 地 址 : 10.1.0.1 IP 地 址 : 10.4.0.1 
网 络 类 型 :以太 网 网 络 类 型 ， 申 行 
链 路 开销 : 2 链 路 开销 : 20 
邻居 : 无 邻居 : R4 


图 6.52 路 由 器 RI 直 连 网 络 链 路 情况 
(2) 路 由 器 R1 向 邻居 发 送 Hello 数据 包 ,结果 如 图 6. 53 所 示 。 


6.53 路 由 器 R1 向 邻居 发 送 Hello 数据 包 


路 由 器 使 用 Hello 协议 发 现 其 链 路 上 的 所 有 邻居 ,两 台 链 路 状态 路 由 器 获悉 它们 是 邻 
居 时 ,将 形成 一 种 相 邻 关系 ,这 些小 型 Hello 数据 包 持 续 在 两 个 相 邻 的 邻居 之 间 互 换 ,以 此 
实现 “保持 生存 ”功能 监控 邻居 的 状态 。 

(3) 路 由 器 创建 链 路 状态 数据 包 。 


路 由 器 一 旦 建立 了 相 邻 关系 , 即 可 创建 链 路 状态 数据 包 (LSP) ,其 中 包含 与 该 链 路 相关 
的 链 路 状态 信息 ,如 图 6. 54 所 示 。 
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1.R1: Ethernet network 10.1.0.0/16;cost 2 

2.R1~R2: serial point-to-point network: 10.2.0.0/16;cost 20 
3.R I- R3: serial point-to-point network: 10.3.0.0/16;cost 5 
4.R I- R4: serial point-to-point network: 10.4.0.0/16;cost 20 


RILSP 


RSLAN 


2 RALAN 
图 6.54 路 由 器 R1 创建 链 路 状态 数据 包 


(4) 将 链 路 状态 数据 库 泛 洪 到 邻居 ,并 构建 链 路 状态 数据 库 。 

路 由 器 一 旦 接收 到 来 自 相 邻 路 由 器 的 LSP, 立 即将 该 LSP 从 除 接收 该 LSP 的 端口 以 
外 的 所 有 端口 发 出 ,如 图 6.55 和 图 6. 56 所 示 。 链 路 状态 路 由 协议 则 在 泛 洪 完 成 后 再 计算 
SPF 算法 ,LSP 中 还 包含 其 他 信息 (如 序列 号 和 过 期 信息 ) ,以 帮助 管理 泛 洪 过 程 。 


10.5.0.0/16 
R2LAN 
2 
LSP) 2811 
102.0.0/16 "S 109.0.0/16 
力 10 
RILAN 10.11.0.0/16 
2 s LSP 2 | R3LAN 2- [asa 
10.3.0.0/16 10.6.0.0/16 
2811 2811 2811 
1010016 — 7H . n us 
20 100.016 10 
104.0.0/16 N [LSP| 10.10.0.0/16 
2811 
R4 
2 
二 RALAN 
10.8.0.0/16 


图 6.55 LSP 从 除 接收 该 LSP 的 端口 以 外 的 所 有 端口 发 出 1 


LSP 并 不 需要 定期 发 送 , 仅 在 下 列 情况 下 才 需 要 发 送 : 在 路 由 器 初始 启动 期 间 , 或 在 该 
路 由 器 上 的 路 由 协议 进程 启动 期 间 ;每 次 拓扑 发 生 更 改 时 ,包括 链 路 接 通 或 断 开 ,或 是 相 邻 
关系 建立 或 破裂 。 

构建 链 路 状态 数据 库 ,路 由 区 域内 的 每 台 路 由 器 都 可 以 使 用 SPF 算法 构建 SPF 树 。 
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10.5.0.0/16 


10.2.0.0/16 10.9.0.0/16 


10.11.0.0/16 


R3LAN 
10.6.0.0/16 


10.4.0.0/16 10.10.0.0/16 


10.8.0.0/16 
图 6.56 LSP 从 除 接收 该 LSP 的 端口 以 外 的 所 有 端口 发 出 2 


表 6. 8 所 示 为 路 由 器 R1 构建 的 链 路 状态 数据 库 。 
表 6.8 路 由 器 RI 构建 的 链 路 状态 数据 库 
R1 的 链 路 状态 数据 库 


R1 链 路 状态 
连接 到 网 络 10. 2. 0. 0/16 上 的 邻居 R2, 开 销 为 20 
连接 到 网 络 10. 3. 0. 0/16 上 的 邻居 R3 ,开销 为 5 
连接 到 网 络 10. 4. 0. 0/16 上 的 邻居 R4, 开 销 为 20 
带 有 一 个 网 络 10. 1. 0. 0/16 ,开销 为 2 


来 自 R2 的 LSP 
连接 到 网 络 10. 2. 0. 0/16 上 的 邻居 R1 ,开销 为 20 
连接 到 网 络 10. 9. 0. 0/16 上 的 邻居 R5 ,开销 为 10 
带 有 一 个 网 络 10. 5. 0. 0/16 ,开销 为 2 


来 自 R3 的 LSP 
连接 到 网 络 10. 3. 0. 0/16 上 的 邻居 R1 ,开销 为 5 
连接 到 网 络 10. 7. 0. 0/16 上 的 邻居 R4 ,开销 为 10 
带 有 一 个 网 络 10. 6. 0. 0/16 ,开销 为 2 


来 自 R4 的 LSP 
连接 到 网 络 10. 4. 0. 0/16 上 的 邻居 R1 ,开销 为 20 
连接 到 网 络 10. 7. 0. 0/16 上 的 邻居 R3 ,开销 为 10 
连接 到 网 络 10. 10. 0. 0/16 上 的 邻居 R5 ,开销 为 10 
带 有 一 个 网 络 10. 11. 0. 0/16 ,开销 为 2 


来 自 R5 的 LSP 
连接 到 网 络 10. 9. 0. 0/16 上 的 邻居 R2 ,开销 为 10 
连接 到 网 络 10. 10. 0. 0/16 上 的 邻居 R4 ,开销 为 10 
带 有 一 个 网 络 10. 11. 0. 0/16 ,开销 为 2 
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(5) 路 由 器 使 用 数据 库 构 建 一 个 完整 的 拓扑 图 并 计算 通 向 每 个 目的 网 络 的 最 佳 路 
径 , 有 了 完整 的 链 路 状态 数据 库 ,Rl 现在 使 用 该 数据 库 和 SPF( 最 短路 径 优先 ) 算 法 计 
算 通 向 每 个 网 络 的 首选 路 径 ( 即 最 短路 径 ) 。 表 6. 9 所 示 为 路 由 器 RI 通 向 每 个 网 络 的 


最 短路 径 。 
表 6.9 路 由 器 R1 通 向 每 个 网 络 的 最 短路 径 
目的 地 最 短路 径 开 销 
R2LAN RI—R2 22 
R3LAN R1 一 R3 
R4LAN R1 一 R3 一 R4 17 
R5LAN R1 一 R3 一 R4 一 R5 27 


SPF 算法 在 构建 SPF 树 的 同时 便 会 确定 最 短路 径 。 路 由 器 RI 构建 SPF 树 的 过 程 见 
表 6. 10。 


表 6.10 路 由 器 RI 构建 SPF 树 的 过 程 
R1 的 链 路 状态 数据 库 


R1 链 路 状态 
连接 到 网 络 10. 2. 0. 0/16 上 的 邻居 R2 ,开销 为 20 
连接 到 网 络 10. 3. 0.0/16 上 的 邻居 R3 ,开销 为 5 
连接 到 网 络 10. 4. 0. 0/16 上 的 邻居 R4 ,开销 为 20 
带 有 一 个 网 络 10. 1. 0. 0/16 ,开销 为 2 


由 表 6. 10 所 示 路 由 器 R1 的 链 路 状态 构建 的 网 络 拓扑 图 如 图 6. 57 所 示 。 


10.1.0.0 
RILAN 


R4 
图 6.57 路 由 器 R1 的 链 路 状态 构建 的 网 络 拓扑 图 


由 表 6. 11 所 示 路 由 器 R1 来 自 R2 的 LSP 链 路 状态 构建 的 网 络 拓扑 图 如 图 6. 58 
所 示 。 
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表 6.11 路 由 器 R1 来 自 R2 的 LSP 
R1 的 链 路 状态 数据 库 


Æ Á R2 的 LSP 
连接 到 网 络 10. 2. 0. 0/16 上 的 邻居 R1 ,开销 为 20 
连接 到 网 络 10. 9. 0. 0/16 上 的 邻居 R5 ,开销 为 10 
带 有 一 个 网 络 10. 5. 0. 0/16 ,开销 为 2 


10.5.0.0 


20 
10.4.0.0 


R4 
图 6.58 路 由 器 R1 来 自 R2 的 LSP 链 路 状态 构建 的 网 络 拓扑 图 


由 表 6.12 所 示 路 由 器 R1 来 自 R3 的 LSP 链 路 状态 构建 的 网 络 拓扑 图 如 图 6. 59 
所 示 。 
表 6.12 路 由 器 RI 来自 R3 的 LSP 链 路 状态 
R1 的 链 路 状态 数据 库 


来 自 R3 的 LSP 
连接 到 网 络 10. 3. 0. 0/16 上 的 邻居 R1, 开 销 为 5 
连接 到 网 络 10. 7. 0. 0/16 上 的 邻居 R4 ,开销 为 10 
带 有 一 个 网 络 10. 6. 0. 0/16 ,开销 为 2 


由 表 6.13 所 示 路 由 器 R1 来自 R4 的 LSP 链 路 状态 构建 的 网 络 拓扑 图 如 图 6. 60 
DE 
356.13. 路 由 器 RI KÉ R4 LSP 链 路 状态 
R1 的 链 路 状态 数据 库 


来 自 R4 的 LSP 
连接 到 网 络 10. 4. 0. 0/16 上 的 邻居 R1 ,开销 为 20 
连接 到 网 络 10. 7. 0. 0/16 上 的 邻居 R3 ,开销 为 10 
连接 到 网 络 10. 10. 0. 0/16 上 的 邻居 R5 ,开销 为 10 
带 有 一 个 网 络 10. 11. 0. 0/16 ,开销 为 2 
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10.5.0.0 


10.1.0.0 
RILAN 
2 


R4 


10.8.0.0 
图 6.60 路 由 器 R1 来 自 R4 的 LSP 链 路 状态 构建 的 网 络 拓扑 图 


表 6.14 路 由 器 R1 来 自 Rs 的 LSP 链 路 状态 


R1 的 链 路 状态 数据 库 


来 自 R5 的 LSP 
连接 到 网 络 10. 9. 0. 0/16 上 的 邻居 R2 ,开销 为 10 
连接 到 网 络 10. 10. 0. 0/16 上 的 邻居 R4 ,开销 为 10 
带 有 一 个 网 络 10. 11. 0. 0/16 ,开销 为 2 


由 表 6. 14 所 示 路 由 器 RI 来 自 R5 的 LSP 链 路 状态 构建 的 网 络 拓扑 图 如 图 6. 61 所 示 。 
SPF 算法 在 构建 SPF 树 的 同时 会 确定 最 短路 径 , 由 SPF 树 生成 路 由 表 。 
由 路 由 器 RI SPF 信息 表 ( 表 6. 15) 得 到 的 路 由 见 表 6. 16。 


166 


第 6 章 动态 路 由 技术 


10.11.0.0 


10.10.0.0 


10.8.0.0 
图 6.61 路 由 器 RISK Á R5 的 LSP 链 路 状态 构建 的 网 络 拓扑 图 


表 6.15 路 由 器 Rl SPF 信息 表 
SPF 信息 


网 络 10. 5. 0. 0/16 :通过 R2,serial 0/0/0, 开 销 为 22 


网 络 10. 6. 0. 0/16 :通过 R3,serial 0/0/1 ,开销 为 7 


网 络 10. 7. 0. 0/16 :通过 R3 serial 0/0/1 ,开销 为 15 


网 络 10. 8. 0. 0/16 :通过 R3,serial 0/0/1 ,开销 为 17 


网 络 10. 9. 0. 0/16 :通过 R2,serial 0/0/0 ,开销 为 30 


网 络 10. 10. 0. 0/16 :通过 R3 serial 0/0/1, 开 销 为 25 


网 络 10. 11. 0. 0/16 :通过 R3 ,serial 0/0/1 ,开销 为 27 


表 6.16 路 由 器 RI 路 由 表 


路 由 表 R1 


Directly Conneted Networks 
10. 1. 0. 0/16 Directly Conneted Networks 
10. 2. 0. 0/16 Directly Conneted Networks 
10. 3. 0. 0/16 Directly Conneted Networks 
10. 4. 0. 0/16 Directly Conneted Networks 


Remote Networks 

10.5. 0. 0/16 via R2 serial 0/0/0, cost —22 
10. 6. 0. 0/16 via R3 serial 0/0/1. cost —7 
10. 7. 0. 0/16 via R3 serial 0/0/1 cost —15 
10. 8. 0. 0/16 via R3 serial 0/0/1. cost —17 
10. 9. 0. 0/16 via R2 serial 0/0/0, cost —30 
10. 10. 0. 0/16 via R3 serial 0/0/1, cost —25 
10. 11. 0. 0/16 via R3 serial 0/0/1. cost —27 
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6.2.3 配置 OSPF 


即便 是 配置 基本 的 OSPF, 也 比 配置 RIP 复杂 , 若 再 考虑 OSPF 支持 的 众多 选项 ,情况 
将 更 加 复杂 。 目 前 主要 涉及 的 是 基本 的 单 区 域 OSPF 配置 。 配 置 OSPF 时 ,最 重要 的 两 个 
方面 是 启动 OSPF 以 及 配置 OSPF 区 域 。 

1. 启动 OSPF 

配置 OSPF 最 简单 的 方式 是 只 使 用 一 个 区 域 。 下 列 命令 用 于 激活 OSPF 路 由 选择 进 
程 , 具 体 如 下 。 


Router (config)#router ospf ? 
< 1- 65535» Process ID 


OSPF 进程 ID 用 1— 65535 的 数字 标识 。 这 是 路 由 器 上 独一无二 的 数字 ,将 一 系列 
OSPF 配置 命令 归 人 特定 进程 下 。 即 使 不 同 OSPF 路 由 器 的 进程 ID 不 同 ,也 能 相互 通信 。 
进程 ID 只 在 本 地 有 意义 ,用 途 不 大 。 可 在 同一 台 路 由 器 上 同时 运行 多 个 OSPF 进程 ,但 这 
并 不 意味 着 配置 的 是 多 区 域 OSPF。 每 个 进程 都 维护 不 同 的 拓扑 表 副 本 ,并 独立 管理 通信 。 
这 里 仅 探讨 每 台 路 由 器 运行 单个 进程 的 单 区 域 OSPF 情况 。 

2. 配置 OSPF 区 域 

启动 OSPF 进程 后 ,需要 指定 要 在 哪些 端口 上 激活 OSPF 通信 ,并 指定 每 个 端口 所 属 的 
区 域 。 这 样 做 也 就 指定 了 要 将 哪些 网 络 通告 给 其 他 路 由 器 。OSPF 在 配置 中 使 用 通配符 
LM 

如 图 6.62 所 示 ,路 由 器 RI 的 基本 OSPF 配置 过 程 如 下 。 


R1 (config)# router ospf 1 
Rl(config- router)#network 10.0.0.0 0.255.255.255 area 0 


10.0.0.1/8 LS 
S0/0/0 


2811 2811 
RI R2 


[86.62 OSPF 基本 配置 拓扑 图 


区 域 编号 可 以 是 0 一 4.2X10? 的 任何 数字 。 区 域 编 号 与 进程 ID 不 是 同一 个 概念 ,进程 
ID 的 取 值 范围 为 1 一 65535。 进 程 ID 无 关 紧 要 ,在 网 络 中 不 同 的 路 由 器 上 ,进程 ID 可 以 相 
同 , 也 可 以 不 同 。 进 程 ID 只 在 本 地 有 意义 。 

在 命令 network 中 ,前 两 个 参数 是 网 络 号 (这 里 为 10. 0. 0. 0) 和 通配符 掩 码 (0. 255. 
255. 255) ,这 两 个 数字 一 起 指定 了 OSPF 将 在 其 上 运行 的 端口 ,这 些 端口 还 将 包含 在 OSPF 
LSA 中 。 根 据 该 命令 ,OSPF 将 把 当前 路 由 器 上 位 于 网 络 10. 0. 0. 0 的 端口 都 加 入 区 域 0。 

通配符 掩 码 中 , 值 为 0 的 字 节 表示 网 络 号 的 相应 字 节 必须 完全 匹配 ,而 255 表示 网 络 号 
的 相应 字 节 无 关 紧 要 。 因 此 ,网 络 号 和 通配符 掩 码 组 合 1. 1. 1. 1 0. 0. 0. 0 只 与 IP 地址 为 
1.1.1. 1 的 端口 匹配 。 如 果 要 匹配 一 系列 网 络 中 的 端口 ,可 使 用 网 络 号 和 通配符 掩 码 组 合 
1.1.0.0 0. 0. 255. 255." 5S fu TF HE TG M 1. 1.0. 0—1. 1. 255. 255 的 端口 都 匹配 。 

最 后 一 个 参数 是 区 域 号 , 它 指定 了 网 络 号 和 通配符 掩 码 指定 的 端口 所 属 的 区 域 。 仅 当 
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两 台 OSPF 路 由 器 的 端口 属于 同一 个 网 络 和 区 域 时 ,它们 才能 建立 邻居 关系 。 

在 配置 区 域 命令 格式 “Network + IP + wild card bits” 中 ,Network 通过 IP 和 “wild 
card bits” 筛 选 出 一 组 IP 地 址 ,从 而 定位 出 需要 开启 OSPF 的 端口 ( 谁 拥有 其 中 一 个 IP 地 
址 , 谁 就 开启 OSPF) ,端口 开启 OSPF 的 含义 : 四 从 该 端口 收发 OSPF 报 文 ; @ 该 端口 所 在 
的 网 络 对 应 的 路 由 成 为 OSPF 的 资源 。 

示例 : inter f0/1 


ip add 10.1.1.1 255.255.255.0 
router ospf 1 


network 10.1.1.1 0.0.0.255 area 0 


这 个 network 命令 实际 上 宣告 了 10.1. 1.0—10. 1. 1. 255 这 256 个 地 址 。 当 然 ,在 这 个 
环境 下 恰好 有 且 仅 有 一 个 端口 在 这 个 范围 内 。 也 就 是 说 ,把 端口 的 掩 码 反 过 来 写 ,正好 能 且 
只 能 宣告 一 个 端口 ,不 会 多 宣告 。 如 果 写 成 network 10. 1. 1. 1 0.0.0.0 area 0, 效 果 也 完全 
一 样 ,或 者 写成 network 10. 1. 1. 2 0. 0. 0. 255 area 0 ,效果 也 是 一 样 的 ,如 果 写 成 network 
0. 0. 0. 0 255. 255. 255. 255 area 0, 可 宣告 所 有 的 TP 地 址 ,也 就 是 宣告 所 有 的 端口 。 也 就 是 
说 ,network 宣告 的 地 址 只 要 能 够 包含 端口 的 IP 地 址 即 可 。 

3. 基本 OSPF 配置 示例 

OSPF 配置 网 络 拓扑 图 如 图 6. 63 所 示 。 


10.10.10.0/24 


S0/0/1 


192.168.10.4/30 


172.16.1.16/28 172.16.1.32/29 


Lo0 10.1.1.1/32 Lo0 10.3.3.3/32 
图 6.63 OSPF 配置 网 络 拓扑 图 


在 图 6. 63 所 示 的 网 络 拓扑 图 中 ,路 由 器 R1、R2、R3 的 端口 相关 配置 见 表 6.17. 
36.17. 路 由 器 RI, R2, R3 的 端口 相关 配置 


设 备 端口 IP 地 址 TOW 
Fa0/0 172.16.1.17 255. 255. 255. 240 

R1 S0/0/0 192. 168. 10.1 255. 255. 255. 252 
S0/0/1 192. 168. 10. 5 255. 255. 255. 252 
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续 表 
设 备 端口 IP 地 址 子 网 掩 码 
Fa0/0 10. 10. 10.1 255. 255. 255. 0 
R2 So/0/0 192. 168. 10. 2 255. 255. 255. 252 
S0/0/1 192.168. 10.9 255. 255. 255. 252 
Fa0/0 172. 16.1. 33 255. 255. 255. 248 
R3 S0/0/0 192. 168. 10. 6 255. 255. 255. 252 
S0/0/1 192. 168. 10. 10 255. 255. 255. 252 
具体 动态 路 由 协议 OSPF 的 配置 过 程 如 下 。 
首先 配置 路 由 器 R1 ,配置 过 程 如 下 。 
Rl (config)# interface serial 0/0/0 // 进 入 路 由 器 R1 serial0/0/0 端口 
Rl(config- if)# ip address 192.168.10.1 255.255.255.252 ”// 为 端口 配置 ITP 地 址 
R1 (config- if)# clock rate 64000 // 配 置 端口 的 时 钟 频率 
Rl (config- if)# no shu // 激 活 端口 
Rl(config-if)fexit / BB 
Rl(config)f interface serial 0/0/1 // 进 入 路 由 器 R1 serial0/0/1 端口 
R1 (config- if)#ip address 192.168.10.5 255.255.255.252 // 为 端口 配置 TP 地 址 
R1 (config- if)#no shu // 激 活 端口 
R1 (config- if)#exit / BB H 
R1 (config)# interface fastEthernet 0/0 // 进 入 路 由 器 R1 的 端口 Fa0/0 
Rl (config- if)#ip address 172.16.1.17 255.255.255.240 // 为 端口 配置 IP 地 址 
R1 (config- if)# no shu // 激 活 端口 
R1 (config)# router ospf 1 // 路 由 器 启动 osPF, 其 进程 号 为 1 
R1 (config- router)#network 192.168.10.0 0.0.0.3 area 0 
//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.10.0/255.255.255.252 的 端口 加 入 区 域 0 
Rl (config- router)# network 192.168.10.4 0.0.0.3 area 0 
//oser 把 当前 路 由 器 上 位 于 网 络 192.168.10.4/255.255.255.252 的 端口 加 入 区 域 0 
Rl (config- router)# network 172.16.1.16 0.0.0.15 area 0 
//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.10.15/255.255.255.252 的 端口 加 入 区 域 0 
R1 (config- router) # 
其 次 配置 路 由 器 R2. 
R2 (config)# interface fastEthernet 0/0 // 进 入 路 由 器 R2 的 端口 Fa0/0 
R2 (config- if)#ip address 10.10.10.1 255.255.255.0 // 为 端口 配置 IP 地址 
R2 (config- if)# no shu // 激 活 端口 
R2(config-if)fexit // 退 出 
R2 (config)# interface serial 0/0/0 // 进 入 路 由 器 R2 的 端口 serialo/0/0 
R2 (config- if)# ip address 192.168.10.2 255.255.255.252 // 为 端口 配置 1p HE 
R2 (config- if)#no shu // 激 活 端 口 
R2 (config- if)#exit // 退 出 
R2 (config)# interface serial 0/0/1 // 进 入 路 由 器 R2 的 端口 serialo/0/1 


第 6 章 动态 路 由 技术 


R2(config-if)fip address 192.168.10.9 255.255.255.252 ”// 为 端口 配置 IP 地 址 


R2 (config- if)#clock rate 64000 // 为 端口 配置 时 钟 频率 
R2 (config- if)#no shu // 退 出 
R2 (config)# router ospf 1 // 路 由 器 启动 osFF, 其 进程 号 为 1 


R2 (config- router) # network 192.168.10.0 0.0.0.3 area 0 


//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.10.0/255.255.255.252 的 端口 加 入 区 域 0 
R2 (config- router)#network 192.168.10.8 0.0.0.3 area 0 

//oser 把 当前 路 由 器 上 位 于 网 络 192.168.10.8/255.255.255.252 的 端口 加 入 区 域 0 
R2 (config- router)# network 10.10.10.0 0.0.0.255 area 0 

//osFF 把 当前 路 由 器 上 位 于 网 络 10.10.10.0/255.255.255.252 的 端口 加 入 区 域 0 


R2 (config- router) # 


最 后 配置 路 由 器 R3. 

R3 (config)# interface fastEthernet 0/0 // 进 入 路 由 器 R3 的 端口 Fa0/0 
R3(config- if)# ip address 172.16.1.33 255.255.255.248 ”// 为 端口 配置 IP 地 址 

R3(config- if)# no shu // 激 活 端 口 

R3(config- if)#exit // 退 出 

R3 (config)# interface serial 0/0/1 // 进 入 路 由 器 R3 的 端口 serialo/0/1 
R3 (config- if)# ip address 192.168.10.10 255.255.255.252 // 为 端口 配置 IP 地 址 

R3 (config- if)# no shu // 激 活 端口 

R3(config-if)fexit // 退 出 

R3 (config)# interface serial 0/0/0 // 进 入 路 由 器 RB3 的 端口 seria10/0/0 
R3 (config- if)# ip address 192.168.10.6 255.255.255.252  // 为 端口 配置 IP 地址 

R3(config- if)# no shu // 激 活 端 口 

R3(config- if)# clock rate 64000 // 为 端口 配置 时 钟 频率 

R3(config- if)#exit // 退 出 

R3 (config)# router ospf 1 // 路 由 器 启动 OSPF, 其 进程 号 为 1 


R3 (config- router) # network 172.16.1.32 0.0.0.7 area 0 

//osPF 把 当前 路 由 器 上 位 于 网 络 172.16.1.32/255.255.255.248 的 端口 加 入 区 域 0 
R3 (config- router)#network 192.168.10.4 0.0.0.3 area 0 

//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.10.4/255.255.255.252 的 端口 加 入 区 域 0 
R3 (config- router)#network 192.168.10.8 0.0.0.3 area 0 

//ospF 把 当前 路 由 器 上 位 于 网 络 192.168.10.8/255.255.255.252 的 端口 加 入 区 域 0 


R3 (config- router) # 


接 下 来 对 配置 结果 进行 验证 。 
首先 通过 命令 show ip route 查看 路 由 器 R1 的 路 由 表 如 下 。 


R1£ show ip route 
Codes: C - connected, S - static, I — IGRP, R - RIP, M —mobile, B -BGP 
D —EIGRP, EX -EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll - IS- IS level-1, L2 - IS IS level-2, ia - IS- IS inter area 
* -candidate default, U - per- user static route, o -ODR 
P -periodic downloaded static route 
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Gateway of last resort is not set 
10.0.0.0/24 is subnetted, 1 subnets 


o 10.10.10.0 [110/65] via 192.168.10.2, 00:04:11, Serial0/0/0 
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
c 172.16.1.16/28 is directly connected, FastEthernet0/0 


172.16.1.32/29 [110/65] via 192.168.10.6, 00:04:11, Serial0/0/1 
192.168.10.0/30 is subnetted, 3 subnets 
192.168.10.0 is directly connected, Serial0/0/0 
192.168.10.4 is directly connected, Serial0/0/1 
192.168.10.8 [110/128] via 192.168.10.2, 00:07:29, Serial0/0/0 
[110/128] via 192.168.10.6, 00:07:29, Serial0/0/1 
RiÉ 


显示 结果 表明 ,路 由 器 RI 的 路 由 表 是 全 的 ,能 够 包含 到 网 络 中 各 个 网 段 的 路 由 条 目 。 
其 次 通过 命令 show ip route 查看 路 由 器 R2 的 路 由 表 如 下 。 


R2# show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP. 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U - per- user static route, o -ODR 
P -periodic downloaded static route 
Gateway of last resort is not set 
10.0.0.0/24 is subnetted, 1 subnets 
c 10.10.10.0 is directly connected, FastEthernet0/O 
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
172.16.1.16/28 [110/65] via 192.168.10.1, 00:04:26, Serial0/0/0 
172.16.1.32/29 [110/65] via 192.168.10.10, 00:04:26, Serial0/0/1 
192.168.10.0/30 is subnetted, 3 subnets 
È 192.168.10.0 is directly connected, Serial0/0/0 


o o0 


o 192.168.10.4 [110/128] via 192.168.10.1, 00:07:34, Serial0/0/0 
[110/128] via 192.168.10.10, 00:07:34, Serial0/0/1 
a 192.168.10.8 is directly connected, Serial0/0/1 
显示 结果 表明 ,路 由 器 R2 的 路 由 表 是 全 的 ,能 够 包含 到 网 络 中 各 个 网 段 的 路 由 
条 目 。 


通过 命令 show ip route 查看 路 由 器 R3 的 路 由 表 如 下 。 


R3# show ip route 
Codes: C - connected, S - static, I — IGRP, R - RIP, M -mobile, B -BGP 
D —EIGRP, EX —EIGRP external, O —OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll - IS- IS level-1, L2 - IS- IS level-2, ia - IS- IS inter area 
* -candidate default, U - per- user static route, o -ODR 
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P -periodic downloaded static route 
Gateway of last resort is not set 


10.0.0.0/24 is subnetted, 1 subnets 


o 10.10.10.0 [110/65] via 192.168.10.9, 00:04:43, Serial0/0/1 
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 

o 172.16.1.16/28 [110/65] via 192.168.10.5, 00:04:43, Serial0/0/0 

c 172.16.1.32/29 is directly connected, FastEthernet0/0 
192.168.10.0/30 is subnetted, 3 subnets 

o 192.168.10.0 [110/128] via 192.168.10.5, 00:07:51, Serial0/0/0 

[110/128] via 192.168.10.9, 00:07:51, Serial0/0/1 

e 192.168.10.4 is directly connected, Serial0/0/0 

e 192.168.10.8 is directly connected, Serial0/0/1 

R3K 


显示 结果 表明 ,路 由 器 R3 的 路 由 表 是 全 的 ,能 够 包含 到 网 络 中 各 个 网 段 的 路 由 条 目 。 
通过 路 由 表 的 分 析 结 果 , 可 以 得 出 整个 网 络 通过 动态 路 由 协议 OSPF 实现 了 互联 互通 。 


6.2.4 DR/BDR 


根据 路 由 器 所 连接 的 物理 网 络 不 同 ,OSPF 将 网 络 划分 为 4 种 类 型 ,分 别 为 广播 多 路 访 
问 型 (broadcast multiaccess) , 非 广播 多 路 访问 型 (None Broadcast MultiAccess, NBMA)、 
点 到 点 型 (point-to-point) , 4 $1] & 1i 7 Cpoint-to-multipoint) 。 

广播 多 路 访问 型 网 络 有 Ethernet, Token Ring, FDDI 等 , 非 广 播 多 路 访问 型 网 络 有 
Frame Relay,X. 25 等 。 

在 广播 多 路 访问 型 和 非 广 播 多 路 访问 型 网 络 中 ,任意 两 台 路 由 器 之 间 都 要 交换 路 由 信 
息 。 如 果 网 络 中 及 n 台 路 由 器 , 则 需要 建立 n(n 一 1)/2 个 邻接 关系 。 这 使 得 任意 一 台 路 由 
器 的 路 由 变化 都 会 导致 多 次 传递 ,浪费 了 带宽 资源 。 为 此 ,OSPF 协议 定义 了 指定 路 由 器 
(Designated Router, DR), 所 有 路 由 器 都 只 将 信息 发 送 给 DR, 再 由 DR 将 网 络 链 路 状态 发 
送出 去 。 若 DR 由 于 某 种 故障 失效 , 则 网 络 中 的 路 由 器 必须 重新 选举 DR ,由 于 选举 时 间 较 
长 ,在 选举 期 间 路 由 的 计算 是 不 正确 的 。 为 了 能 够 缩短 选举 时 间 ,OSPF 提出 备份 指定 路 由 
fit Backup Designated Router,BDR) 的 概念 。 

动态 路 由 协议 OSPF 中 每 个 多 路 访问 (multi-access) 网 段 都 有 DR 和 BDR 以 及 非 指定 
路 由 器 (DROther) 。 网 络 中 运行 了 OSPF 协议 的 路 由 器 使 用 TP 组 播 地 址 224. 0. 0. 6 与 DR 
交流 ,DR 以 及 BDR 使 用 224. 0. 0.5 组 播 IP 地 址 与 所 有 OSPF 路 由 器 交流 。 

DR: 负责 使 用 该 变化 信息 更 新 其 他 所 有 的 OSPF 路 由 器 ( 称 为 DROther) 。 

BDR: BDR 会 监控 DR 的 状态 ,并 在 当前 DR 发 生 故障 时 接替 其 角色 。 通 过 点 对 点 链 
路 相互 连接 的 网 络 ,不 会 执行 DR 和 BDR 选举 。 

具有 最 高 优先 级 的 OSPF 路 由 器 成 为 网 段 中 的 DR。 如 果 优 先 级 相同 ,具有 最 高 路 由 
器 ID 的 路 由 器 会 成 为 DR。 默认 所 有 路 由 器 都 具有 相同 的 优先 级 ,其 值 均 为 1。 如果 DR 
故障 ,BDR 会 被 提升 为 DR 。 

DR 和 BDR 的 优先 级 根据 端口 不 同 而 不 同 ,可 以 使 用 命令 ip ospf priority 在 端口 配置 
模式 中 配置 端口 的 优先 级 。 一 旦 选举 了 DR 和 BDR ,它们 就 会 维持 这 些 角色 ,即使 其 他 有 具 
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有 更 高 优先 级 的 路 由 器 与 它们 形成 邻居 关系 ,也 不 会 改变 它们 的 角色 。 只 在 没有 DR 或 
BDR 时 , 才 会 进行 选举 或 重新 选举 。 将 优先 级 设置 为 0, 意味 着 该 路 由 器 将 永远 不 会 成 为 
DR 或 BDR., 

OSPF 网 络 中 的 每 台 路 由 器 都 需要 一 个 唯一 ID( 路 由 器 ID) 一 一 该 ID 不 仅 在 区 域内 唯 
一 ,在 整个 OSPF 网 络 中 也 都 是 唯一 的 。 该 ID 用 于 向 OSPF 路 由 器 提供 唯一 标识 , 它 包含 
在 路 由 器 中 生成 的 OSPF 消息 中 。 路 由 器 ID 的 选择 过 程 如 下 。 

CD 路 由 器 活动 环 回 端口 的 最 高 IP 地 址 (这 是 路 由 器 上 的 逻辑 端口 ) 作 为 路 由 器 ID. 

(2) 如 果 在 活动 的 环 回 端口 上 没有 IP 地 址 ,路 由 器 启动 时 会 使 用 其 中 最 高 的 IP 地 址 
作为 路 由 器 ID。 

路 由 器 如 果 没 有 活动 端口 ,OSPF 进程 不 会 启动 ,因此 在 路 由 选择 表 中 不 会 有 任何 
OSPF 路 由 。 由 于 环 回 端口 总 是 被 启用 的 ,因此 一 般 使 用 环 回 端口 TP. 地 址 作为 路 由 器 的 
ID。 这 样 ,路 由 器 可 以 获得 ID ,并 启动 OSPF. 


6.2.5 默认 路 由 传播 


如 图 6. 64 所 示 ,在 连接 到 ISP 的 边界 OSPF 路 由 器 上 ,通常 有 一 个 指向 ISP. 的 默认 路 
由 。 要 获取 这 个 路 由 并 将 它 分 布 到 OSPF 进程 中 ,可 使 用 以 下 配置 命令 ,让 边界 路 由 器 成 为 
自治 系统 边界 路 由 器 。 
Router (config)# ip route 0.0.0.0 0.0.0.0 ISP- interface- or- IP- address 
// 配 置 出 口 路 由 器 默认 路 由 


Router (config)# router ospf process- ID // 路 由 器 启动 oSPF, 其 进程 号 为 process- ID 
Router (config- router)# default- information originate // 路 由 重 分 布 


ISP 


Ep 


OSP 
192.168.2.0/24 
2950-24 geag Jem 1 1 1. 


2811 


RI 
PC-PT PC-PT 
PCO PCI 
图 6.64 路 由 重 分 布 拓扑 图 
首先 配置 ISP 路 由 器 R1, 具 体 配置 如 下 。 
R1 (config)# interface serial 0/0/0 // 进 入 路 由 器 R1 的 serial0/0/0 端口 
R1 (config- if)# ip address 202.102.10.1 255.255.255.0 // 配 置 端口 IP 地 址 
R1 (config- if)# no shu // 激 活 
其 次 配置 出 口 路 由 器 R2 ,基本 配置 如 下 。 
R2 (config)# interface serial 0/0/0 // 进 入 路 由 器 R2 的 serialo/0/03 Hl 


R2 (config-if)fip address 202.102.10.2 255.255.255.0 
R2 (config-if)fclock rate 64000 

R2 (config-if)fno shu 

R2 (config-if)fexit 

R2 (config)# interface fastEthernet 0/0 

R2 (config-if)fip address 192.168.1.2 255.255.255.0 


路 由 器 R3 的 基本 配置 如 下 。 


R3 (config)# interface fastEthernet 0/0 

R3 (config- if)# ip address 192.168.1.1 255.255.255.0 
R3 (config- if)# no shu 

R3(config-if)fexit 

R3(config)f interface fastEthernet 0/1 

R3 (config- if)# ip address 192.168.2.1 255.255.255.0 
BR3 (config- if)# no shu 


配置 路 由 器 R2 指向 ISP 的 默认 路 由 。 
R2 (config)# ip route 0.0.0.0 0.0.0.0 202.102.10.1 


路 由 器 R2 和 R3 配置 OSPF 路 由 器 协议 。 
R2 配置 如 下 。 


R2 (config)# router ospf 1 


R2 (config- router)$ network 192.168.1.0 0.0.0.255 area 0 
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// 配 置 端口 IP 地 址 

// 为 端口 配置 时 钟 频率 

// 激 活 

// 退 出 

// 进 入 路 由 器 R2 的 端口 Fa0/0 
// 配 置 端口 TP 地址 


// 进 入 路 由 器 R3 的 端口 Fa0/0 
// 配 置 端口 IP 地 址 

// 激 活 

// 退 出 

// 进 入 路 由 器 R3 的 端口 Fa0/1 
// 配 置 端口 IP 地 址 

// 激 活 


// 配 置 出 口 路 由 器 默认 路 由 


// 路 由 器 启动 OSPF, 其 进程 号 为 1 


//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.1.0/255.255.255.0 的 端口 加 入 区 域 0 


R3 配置 如 下 。 


R3 (config)# router ospf 1 


R3(config- router)$ network 192.168.1.0 0.0.0.255 area 0 


// 路 由 器 启动 osPF, 其 进程 号 为 1 


//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.1.0/255.255.255.0 的 端口 加 入 区 域 0 


R3(config- router)#network 192.168.2.0 0.0.0.255 area 0 


/ /oser 把 当前 路 由 器 上 位 于 网 络 192.168.2.0/255.255.255.0 的 端口 加 入 区 域 0 


在 路 由 器 R2 上 配置 默认 路 由 重 分 布 ,具体 配置 如 下 。 


R2 (config- router)# default- information originate 
查看 R3 路 由 器 的 路 由 表 如 下 。 


R3# show ip route 


Codes: C - connected, S - static, I - IGRP, R - RIP, M — mobile, B -BGP 


D -EIGRP, EX - EIGRP external, O —-OSPF, IA -OSPF inter area 


N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 


El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 


i -IS-IS, Ll - IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 


* -candidate default, U -per-user static route, o -ODR 


P -periodic downloaded static route 
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Gateway of last resort is 192.168.1.2 to network 0.0.0.0 

c 192.168.1.0/24 is directly connected, FastEthernet0/0 

c 192.168.2.0/24 is directly connected, FastEthernet0/1 

O* E2 0.0.0.0/0 [110/1] via 192.168.1.2, 00:00:20, FastEthernet0/0 
R3# 


路 由 表 中 的 路 由 条 目 “O * E2 0. 0. 0. 0/0 [110/1] via 192. 168. 1. 2, 00:00:20, 
FastEthernet0/0”, 是 将 默认 路 由 通过 OSPF 路 由 协议 进行 重 分 布 。 


6.2.6 OSPF 认证 


OSPF 支持 邻居 和 路 由 选择 更 新 的 认证 ,目的 是 为 了 加 强 网 络 安全 性 ,可 以 使 用 明文 密 
码 或 MD5 算法 创建 的 数字 签名 认证 。 认 证 信息 被 放置 在 每 个 LSA( 链 路 状态 通告 ) 中 ,并 
在 被 OSPF 路 由 器 接受 之 前 进行 验证 。 要 成 为 邻居 , 密 钥 信息 (明文 密码 或 MD5 算法 的 密 
钥 ) 必 须 在 两 个 要 成 为 邻居 的 对 等 体 之 间 匹 配 。 如 果 两 个 OSPF 邻居 上 的 密码 或 者 密 钥 值 
不 匹配 ,就 不 会 发 生 邻居 关系 。 使 用 MD5 密码 比 使 用 明文 密码 更 安全 。 

配置 认证 需要 两 个 步骤 : 

(1) 指定 要 使 用 的 密码 ( 密 钥 ) 或 启用 认证 。 密 钥 的 配置 是 以 端口 为 基础 的 ,意味 着 相 
同 端口 的 每 个 邻居 OSPF 路 由 器 必须 使 用 密码 ( 密 钥 )。 命 令 如 下 : 

Router (config- if)# ip ospf authentication- key password 

密码 以 明文 形式 存储 在 路 由 器 配置 中 。 要 对 其 进行 加 密 , 可 使 用 RouterCconfig) # 
service password-encryption 命令 。 

(2) 指定 密码 是 以 明文 形式 发 送 , 还 是 使 用 MD5 创建 数字 签名 。 可 以 以 端口 为 基础 进 
行 设 置 ,也 可 以 以 区 域 为 基础 进行 设置 。 

Router (config- if)# ip ospf authentication [message- digest] 

如 果 省 略 了 message-digest 参数 , 密 钥 就 作为 明文 密码 发 送 。 其 他 选项 是 配置 与 路 由 
器 相关 联 的 区 域 使 用 的 密码 ( 密 钥 )。 


Router (config)# router ospf process_ID 


Router (config- router)#area area #authentication [message- digest] 


如 果 省 略 了 message-digest 参数 , 密 钥 就 作为 明文 密码 发 送 。 
如 图 6. 65 所 示 ,OSPF 明文 密码 认证 配置 过 程 如 下 。 


首先 对 路 由 器 R2 进行 基本 配置 。 

R2 (config)# interface serial 0/0/0 // 进 入 路 由 器 R2 的 serial0/0/0 端 口 
R2 (config- if)#ip address 23.1.1.1 255.255.255.0 ”// 为 端口 配置 TP 地 址 

R2 (config- if)#no shu // 激 活 

R2 (config- if)#clock rate 64000 // 为 端口 配置 时 钟 频率 

路 由 器 R3 基本 配置 如 下 : 

R3(config)£ interface serial 0/0/0 // 进 入 路 由 器 R3 的 serialo/0/0 端口 


B3 (config- if)# ip address 23.1.1.2 255.255.255.0 ”// 为 端口 配置 IP 地 址 
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R3 (config- if)#no shu // 激 活 

R3(config-if)fexit // 退 出 

R3 (config) # interface serial 0/0/1 // 进 入 路 由 器 R3 的 serial0/0/1 端口 
R3(config-if)fip address 34.1.1.1 255.255.255.0 ”// 为 端口 配置 TP 地址 

R3 (config- if)#no shu // 激 活 

R3(config- if)#clock rate 64000 // 为 端口 配置 时 钟 频率 

R3(config- if)#exit // 退 出 


3.1.1.2/24 DCE 
34.1.1.1/24 


23.1.1.1/24 34.1.1.2/24 


45.1.1.1/24 


S0/0/0 


DCE 45.1224 


图 6.65 OSPF 认证 拓扑 结构 图 


路 由 器 R4 基本 配置 如 下 。 

R4 (config)# interface serial 0/0/1 // 进 入 路 由 器 RA 的 serial0/0/1 端口 
R4 (config- if)#ip address 34.1.1.2 255.255.255.0 ”// 为 端口 配置 TP 地址 

R4 (config- if)# no shu // 激 活 

R4 (config- if)#exit // 退 出 

配置 路 由 器 R2 OSPF 路 由 协议 。 

R2 (config)# router ospf 1 // 路 由 器 启动 osPF, 其 进程 号 为 1 


R2 (config- router)# network 23.1.1.0 0.0.0.255 area 0 
//oser 把 当前 路 由 器 上 位 于 网 络 23.1.1.0/255.255.255.0 的 端口 加 入 区 域 0 


配置 路 由 器 R3 OSPF 路 由 协议 。 


R3 (config)# router ospf 1 // 路 由 器 启动 0SPF, 其 进程 号 为 1 
R3 (config- router)#network 23.1.1.0 0.0.0.255 area 0 

//oser 把 当前 路 由 器 上 位 于 网 络 23.1.1.0/255.255.255.0 的 端口 加 入 区 域 0 
R3 (config- router)#network 34.1.1.0 0.0.0.255 area 0 

//osPF 把 当前 路 由 器 上 位 于 网 络 34.1.1.0/255.255.255.0 的 端口 加 入 区 域 0 


配置 路 由 器 RA OSPF 路 由 协议 。 


R4 (config)£ router ospf 1 // 路 由 器 启动 oSPF, 其 进程 号 为 1 
R4 (config- router)# network 34.1.1.0 0.0.0.255 area 0 
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//oser 把 当前 路 由 器 上 位 于 网 络 34.1.1.0/255.255.255.0 的 端口 加 入 区 域 0 
接 下 来 进行 OSPF 明文 认证 配置 ,在 路 由 器 R2 和 路 由 器 R3 上 进行 OSPF 明文 认证 ， 


具体 配置 过 程 如 下 。 
首先 在 路 由 器 R2 上 做 如 下 配置 ,观察 R2 配置 完 认 证 ,R3 没有 配置 认证 时 的 情况 。 
R2 (config)# interface serial 0/0/0 // 进 入 路 由 器 R2 的 serial0/0/0 端口 
R2 (config- if)# ip ospf authentication // 启 用 路 由 器 osPF 认证 功能 


BR2 (config- if)#ip ospf authentication-key cisco ”// 将 认证 密码 设置 为 cisco 
在 路 由 器 R2 上 通过 Debug 命令 工具 可 以 看 到 如 下 信息 。 


R2# debug ip ospf events 

OSPF events debugging is on 

R2# 

00:51:36: OSPF: Rcv pkt from 23.1.1.2, Serial0/0/0 : Mismatch Authentication type. Input packet 
specified type 0, we use type 1 


这 里 的 type0 指 对 方 没有 启用 认证 ,而 我 们 使 用 的 是 typel 认证 , 即 明文 认证 。 
在 路 由 器 R3 上 通过 Debug 调试 命令 ,可 以 看 到 如 下 结果 。 


R3# debug ip ospf events 

OSPF events debugging is on 

R3K 

00:53:58: OSPF: Rcv hello from 34.1.1.2 area 0 from Serial0/0/1 34.1.1.2 

00:53:58: OSPF: End of hello processing 

00:54:03: OSPF: Rcv pkt from 23.1.1.1, Serial0/0/0 : Mismatch Authentication type. Input packet 
Specified type 1, we use type 0 


这 里 的 type0 指 我 们 没有 启用 认证 ,而 对 方 使 用 的 是 typel 认证 , 即 明文 认证 。 
接 下 来 在 R3 上 配置 认证 ,使 得 邻居 关系 恢复 正常 ,具体 配置 过 程 如 下 。 


R3(config)# interface serial 0/0/0 // 进 入 路 由 器 R3 的 serial0/0/0 端口 
R3 (config- if)# ip ospf authentication // 启 用 路 由 器 osPF 认证 功能 
R3 (config- if)#ip ospf authentication-key cisco  // 将 认证 密码 设置 为 cisco 


接 下 来 可 以 看 到 邻居 关系 恢复 过 程 ,具体 如 下 。 


R3(config- if)# 

00:58:43: OSPF: Send DBD to 23.1.1.1 on Serial0/0/0 seq 0x4495 opt 0x00 flag 0x7 len 32 
00:58:43: OSPF: Rcv DBD from 23.1.1.1 on Serial0/0/0 seq 0x460b opt 0x00 flag 0x7 len 32 mtu 1500 
State EXSTART 

00:58:43: OSPF: First DBD and we are not SLAVE 

00:58:43: OSPF: Rev DBD from 23.1.1.1 on Serial0/0/0 seq 0x4495 opt 0x00 flag 0x2 len 92 mtu 1500 
State EXSTART 

00:58:43: OSPF: NBR Negotiation Done. We are the MASTER 

00:58:43: OSPF: Send DBD to 23.1.1.1 on Serial0/0/0 seq 0x4496 opt 0x00 flag 0x3 len 92 
00:58:43: OSPF: Rev DBD from 23.1.1.1 on Serial0/0/0 seq 0x4496 opt 0x00 flag 0x0 len 32 mtu 1500 
State EXCHANGE 
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00:58:43: OSPF: Send DBD to 23.1.1.1 on Serial0/0/0 seq 0x4497 opt 0x00 flag 0x1 len 32 
00:58:43: OSPF: Rcv DBD from 23.1.1.1 on Serial0/0/0 seq 0x4497 opt 0x00 flag 0x0 len 32 mtu 1500 
State EXCHANGE 

00:58:43: Exchange Done with 23.1.1.1 on Serial0/0/0 

00:58:43: Synchronized with with 23.1.1.1 on Serial0/0/0, state FULL 

00:58:43: $$ OSPF- 5- ADJCHG: Process 1l, Nbr 23.1.1.1 on Serial0/0/0 from LOADING to FULL, 


Loading Done 

邻居 关系 恢复 正常 , 接 下 来 配置 路 由 器 R3 和 路 由 器 RA 串 行 链 路 进行 MD5 认证 过 程 ， 
具体 配置 过 程 如 下 。 

首先 配置 路 由 器 R3。 

R3(config)# interface serial 0/0/1 // 进 入 路 由 器 R3 的 serial0/0/1 端口 


R3(config- if)#ip ospf authentication message- digest 
// 启 用 路 由 器 oser 认证 功能 ,并 定义 认证 类 型 为 MD5 
R3 (config- if)# ip ospf message- digest- key 1 md5 cisco // 设 置 MD5 密码 为 cisco 


路 由 器 R4 通过 Debug 调试 ,显示 结果 如 下 。 


R4# debug ip ospf events 

OSPF events debugging is on 

R4# 

01:10:04: OSPF: Rcv pkt from 34.1.1.1, Serial0/0/1 : Mismatch Authentication type. Input packet 
specified type 2, we use type 0 


显示 结果 表明 ,对方 采用 type 2 MD5 加 密 认 证 ,而 本 身 没有 采用 认证 , 即 type0。 
路 由 器 R3 通过 Debug 调试 ,显示 结果 如 下 。 


R3# debug ip ospf events 

OSPF events debugging is on 

R3# 

01:12:53: OSPF: Rcv hello from 23.1.1.1 area 0 from Serial0/0/0 23.1.1.1 
01:12:53: OSPF: End of hello processing 


158: OSPF: Rcv pkt from 34.1.1.2, Serial0/0/1 : Mismatch Authentication type. Input packet 
specified type 0, we use type 2 


表明 对 方 认 证 类 型 为 type0, 即 没有 认证 ,而 我 们 本 身 使 用 的 认证 类 型 为 type2, 即 MD5 
加 密 认 证 。 

接 下 来 配置 路 由 器 R4, 使 其 动态 路 由 协议 OSPF 采用 MD5 进行 认证 。 
R4 (config)# interface serial 0/0/1 // 进 入 路 由 器 RA BÉ serial0/0/1 端口 
R4 (config- if)# ip ospf authentication message- digest 

// 启 用 路 由 器 ospr 认证 功能 ,并 定义 认证 类 型 为 MD5 
R4 (config-if)fip ospf message- digest- key 1 md5 cisco // 设 置 MD5 密码 为 cisco 
R4 (config-if)& 
01:26:54: % OSPF- 5- ADJCHG: Process 1, Nbr 34.1.1.1 on Serial0/0/1 from LOADING to FULL, 
Loading Done 
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路 由 器 RA 配置 完 MD5 认证 后 ,邻居 关系 恢复 正常 。 网 络 通信 恢复 正常 状态 。 
接 下 来 配置 区 域 认证 ,具体 配置 在 Areal 上 进行 区 域 认 证 过 程 。 
首先 在 路 由 器 RI 上 做 如 下 配置 。 


R1 (config)# interface serial 0/0/1 // 进 入 路 由 器 R1 的 serialo/0/195 Hl 
Rl(config-if)fip address 12.1.1.1 255.255.255.0 ”// 为 端口 配置 IP 地 址 

R1 (config- if)# no shu // 激 活 

RI (config- if)# clock rate 64000 // 配 置 时 钟 频率 

路 由 器 R2 做 如 下 配置 。 

R2 (config)# interface serial 0/0/1 // 进 入 路 由 器 R2 的 serial0/0/1 端口 
R2 (config- if)#ip address 12.1.1.2 255.255.255.0 ”// 为 端口 配置 TP 地址 

R2 (config- if)#no shu // 激 活 

路 由 器 R1 启动 OSPF 路 由 协议 。 

R1 (config)# router ospf 1 // 路 由 器 启动 oSPF, 其 进程 号 为 1 


Rl (config- router)#network 12.1.1.0 0.0.0.255 area 1 
//oser 把 当前 路 由 器 上 位 于 网 络 12.1.1.0/255.255.255.0 的 端口 加 入 区 域 1 


R1 (config- router)# 


路 由 器 R2 启动 OSPF 路 由 协议 。 


R2 (config)# router ospf 1 // 路 由 器 启动 oSPF, 其 进程 号 为 1 
R2 (config- router)# network 12.1.1.0 0.0.0.255 area 1 
//osPF 把 当前 路 由 器 上 位 于 网 络 12.1.1.0/255.255.255.0 的 端口 加 入 区 域 1 


R2 (config- router)# 


查看 邻居 情况 如 下 。 

Rl1# show ip ospf neighbor 

Neighbor ID Pri State Dead Time Address Interface 
23.1.1.1 0 FULL/ - 00:00:36 12.1.1.2 Serial0/0/1 

Ri 

接 下 来 配置 区 域 明文 密码 认证 ,首先 配置 路 由 器 RI. 

R1 (config)# router ospf 1 // 路 由 器 启动 osPF, 其 进程 号 为 1 

R1 (config- router)# area 1 authentication // 配 置 区 域 认 证 

R1 (config- router) #exit // 退 出 

R1 (config)# interface serial 0/0/1 // 进 入 路 由 器 Rl 的 serial0/0/1 端口 


Rl(config-if)fip ospf authentication- key cisco ”// 配 置 认证 密码 为 cisco 

Rl# debug ip ospf events 

OSPF events debugging is on 

RIH 

01:49:30: OSPF: Rcv pkt from 12.1.1.2, Serial0/0/1 : Mismatch Authentication type. Input packet 
specified type 0, we use type 1 


配置 路 由 器 R2 如 下 。 
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R2 (config)# router ospf 1 // 路 由 器 启动 OSPF, 其 进程 号 为 1 

R2 (config- router)#area 1 authentication // 配 置 区 域 认 证 

R2 (config- router)#exit // 退 出 

R2 (config)# interface serial 0/0/1 // 进 入 路 由 器 R2 的 serial0/0/1 % O 
R2 (config- if)# ip ospf authentication- key cisco // 配 置 认证 密码 为 cisco 


R2 (config- if)# 
02:13:26: % OSPF- 5- ADJCHG: Process 1, Nbr 12.1.1.1 on Serial0/0/1 from LOADING to FULL, 
Loading Done 


配置 区 域 加 密 MD5 认证 过 程 如 下 。 


R1 (config)# router ospf 1 // 路 由 器 启动 oSPF, 其 进程 号 为 1 
Rl (config- router)#area 1 authentication message- digest  // 配 置 区 域 Mp5 认 证 

R1 (config- router)# exit // 退 出 

R1 (config)# interface serial 0/0/1 // 进 入 端口 serialO/0/1 


Rl(config-if)fip ospf message- digest- key 1 md5 cisco < // 配 置 MD5 认 证 密码 为 cisco 
01:57:00: $OSPF- 5- ADJCHG: Process 1l, Nbr 23.1.1.1 on Serial0/0/1 from FULL to DOWN, Neighbor 
Down: Dead timer expired 


接着 配置 路 由 器 R2. 

R2 (config)# router ospf 1 // 路 由 器 启动 oSPF, 其 进程 号 为 1 
R2 (config- router)# area 1 authentication message- digest // 配 置 区 域 MD5 认 证 

R2 (config- router)#exit // 退 出 

R2 (config)# interface serial 0/0/1 // 进 入 端口 serialO/0/1 


R2(config-if)fip ospf message- digest- key 1 md5 cisco  — // 配 置 MD5 认 证 密码 为 cisco 
R2(config-if)$ 

02:20:57: % OSPF- 5- ADJCHG: Process 1, Nbr 12.1.1.1 on Serial0/0/1 from LOADING to FULL, 
Loading Done 


邻居 关系 恢复 正常 ,网 络 通信 恢复 正常 。 
6.2.7 OSPF 故障 排除 
常用 来 进行 OSPF 故障 排除 的 命令 有 


show ip protocols 

show ip route 

show ip ospf 

show ip ospf interface 
show ip ospf neighbor 
debug ip ospf adj 
debug ip ospf events 
debug ip ospf packet 


图 6. 66 所 示 为 OSPF 故障 排除 网 络 拓扑 图 ,该 互联 网 络 由 4 台 路 由 器 和 4 台 计 算 机 
组 成 ,通过 动态 路 由 协议 OSPF 将 网 络 互联 起 来 。 接 下 来 通过 相关 命令 查看 网 络 故障 
过 程 。 
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192.168.2.0/24 


S0/0/0 


Fa0/0 Fa0/1 X Fa0/0 
ia yn B 2281, 4 

RI "Rm 
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v 
v 


^ === 


/ 2960-24TT Go 


Switch0 
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.100 .100 
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281 .1 281 .1 
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7/ 192.168,5.024 V 192.168.6.024 
PC-PT PC-PT 
PC2 PC3 


图 6.66 OSPF 故障 排除 网 络 拓扑 图 


1. show ip protocols 


该 命令 显示 在 路 由 器 上 已 经 配置 并 正在 运行 的 所 有 TP 路 由 选择 协议 。 


Rl# show ip protocols 
Routing Protocol is "ospf 1" 
Outgoing update filter list for all interfaces is not set 
Incoming update filter list for all interfaces is not set 
Router ID 192.168.4.1 
Number of areas in this router is 1. 1 normal 0 stub 0 nssa 
Maximum path: 4 
Routing for Networks: 
192.168.1.0 0.0.0.255 area 0 
192.168.2.0 0.0.0.255 area 0 


192.168.4.0 0.0.0.255 area 0 

Routing Information Sources: 
Gateway Distance Last Update 
192.168.4.1 110 00:09:12 
192.168.4.2 110 00:09:12 
192.168.5.1 110 00:09:22 
192.168.6.1 110 00:09:22 


Distance: (default is 110) 


在 该 例 中 ,路 由 器 ID 是 192. 168. 4. 1。 参 与 到 OSPF 中 的 所 有 端口 (192. 168. 1. 0 0. 0. 
0. 255,192. 168. 2.0 0.0.0. 255 以 及 192. 168. 4.0 0. 0. 0. 255) 都 在 区 域 0 中。 默认 管理 距 
离 为 110。 
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2. show ip route 命令 
路 由 器 在 路 由 选择 表 中 保持 了 一 份 到 达 接 收 站 的 最 佳 IP 路 径 列表 。 要 查看 路 由 选择 
表 , 可 以 使 用 命令 show ip route。 


Rl# show ip route 
Codes: C - connected, S - static, I — IGRP, R - RIP, M - mobile, B -BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll - IS- IS level-1, L2 - IS- IS level-2, ia - IS- IS inter area 
* -candidate default, U -per- user static route, o -ODR 
P -periodic downloaded static route 


Gateway of last resort is not set 


c 192.168.1.0/24 is directly connected, FastEthernet0/0 

© 192.168.2.0/24 is directly connected, Serial0/0/0 

o 192.168.3.0/24 [110/2] via 192.168.4.2, 00:10:47, FastEthernet0/1 
c 192.168.4.0/24 is directly connected, FastEthernet0/1 

o 192.168.5.0/24 [110/2] via 192.168.4.3, 00:10:47, FastEthernet0/1 
o 192.168.6.0/24 [110/2] via 192.168.4.4, 00:10:47, FastEthernet0/1 
RH 


在 该 例 中 ,有 一 条 OSPF 路 由 “OO — 192.168. 3. 0/24 [110/2] via 192. 168. 4. 2, 00:10; 
47，FastEthernet0/1”, 该 路 由 的 管理 距离 为 110 ,度量 值 为 2, 并 能 通过 邻居 192. 168. 4. 2 
到 达 。 

3. show ip ospf 命令 

要 查看 路 由 器 的 OSPF 配置 概况 ,可 以 使 用 show ip ospf 命令 。 


Rl# show ip ospf 
Routing Process "ospf 1" with ID 192.168.4.1 
Supports only single TOS (TOS0) routes 
Supports opaque LSA 
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs 
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs 
Number of external LSA 0. Checksum Sum 0x000000 
Number of opaque AS LSA 0. Checksum Sum 0x000000 
Number of DCbitless external and opaque AS LSA 0 
Number of DoNotAge external and opaque AS LSA 0 
Number of areas in this router is 1. 1 normal 0 stub 0 nssa 
External flood list length 0 
Area BACKBONE (0) 
Number of interfaces in this area is 3 
Area has no authentication 
SPF algorithm executed 182 times 
Area ranges are 


Number of LSA 5. Checksum Sum 0x024b91 
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端口 。 要 查看 这 些 


Number of opaque link LSA 0. Checksum Sum 0x000000 
Number of DCbitless LSA 0 
Number of indication LSA 0 
Number of DoNotAge LSA 0 
Flood list length 0 
RH 


该 命令 显示 了 OSPF 计时 器 配置 和 其 他 统计 信息 ,包括 SPF 算法 在 某 个 区 域 中 运行 的 


次 数 。 


4. show ip ospf interface 命令 
在 端口 的 基础 上 ,OSPF 路 由 器 跟踪 一 个 端口 属于 哪个 区 域 , 以 及 有 哪些 邻居 连接 到 该 
息 ,可 以 使 用 show ip ospf interface 命令 。 


Rl# show ip ospf interface 
FastEthernet0/0 is up, line protocol is up 
Internet address is 192.168.1.1/24, Area 0 
Process ID 1, Router ID 192.168.4.1, Network Type BROADCAST, Cost: 1 
Transmit Delay is 1 sec, State DR, Priority 1 
Designated Router (ID) 192.168.4.1, Interface address 192.168.1.1 
No backup designated router on this network 
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 
Hello due in 00:00:07 
Index 1/1, flood queue length 0 
Next 0x0 (0) /0xO (0) 
Last flood scan length is 1, maximum is 1 
Last flood scan time is 0 msec, maximum is 0 msec 
Neighbor Count is 0, Adjacent neighbor count is 0 
Suppress hello for 0 neighbor (s) 
FastEthernet0/1l is up, line protocol is up 
Internet address is 192.168.4.1/24, Area 0 
Process ID 1, Router ID 192.168.4.1, Network Type BROADCAST, Cost: 1 
Transmit Delay is 1 sec, State DROTHER, Priority l 
Designated Router (ID) 192.168.6.1, Interface address 192.168.4.4 
Backup Designated Router (ID) 192.168.5.1, Interface address 192.168.4.3 
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 
Hello due in 00:00:07 
Index 2/2, flood queue length 0 
Next 0x0 (0) /0x0 (0) 
Last flood scan length is 1, maximum is 1 
Last flood scan time is 0 msec, maximum is 0 msec 
Neighbor Count is 3, Adjacent neighbor count is 2 
Adjacent with neighbor 192.168.6.1 (Designated Router) 
Adjacent with neighbor 192.168.5.1 (Backup Designated Router) 
Suppress hello for 0 neighbor (s) 
Serial0/0/0 is up, line protocol is up 
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Internet address is 192.168.2.1/24, Area 0 

Process ID 1, Router ID 192.168.4.1, Network Type POINT- TO- POINT, Cost: 64 

Transmit Delay is 1 sec, State POINT- TO- POINT, Priority 0 

No designated router on this network 

No backup designated router on this network 

Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 
Hello due in 00:00:07 

Index 3/3, flood queue length 0 

Next 0x0 (0) /0x0 (0) 

Last flood scan length is 1, maximum is 1 

Last flood scan time is 0 msec, maximum is 0 msec 

Neighbor Count is 1 , Adjacent neighbor count is 1 
Adjacent with neighbor 192.168.4.2 

Suppress hello for 0 neighbor (s) 


使 用 该 命令 可 以 显示 路 由 器 ID DR 和 BDR 的 ID. Hello 计时 器 (10 秒 )、 失 效 时 间 间 
隔 (40 秒 )、 邻 居 数 目 以 及 邻接 关系 数目 。 要 与 另 一 台 OSPF 路 由 器 成 为 邻居 ,hello 与 失效 
时 间 间 隔 值 必须 匹配 .“Designated Router (ID) 192. 168. 6. 1, Interface address 192. 168. 
4. A" HJ] DR 路 由 器 的 ID 为 192. 168. 6. 1。 与 本 路 由 器 相连 的 端口 TP 地 址 为 192. 168. 4. 
4, "Backup Designated Router (ID) 192. 168. 5. 1. Interface address 192. 168. 4. 3 表明 
BDR 路 由 器 的 ID Jy 192. 168. 5.1。 与 本 路 由 器 相连 的 端口 IP 地 址 为 192. 168. 4. 3。 

在 该 实例 中 ,本 路 由 器 ID 是 192. 168. 4. 1。 它 的 状态 是 DROTHER，“Neighbor Count 
is 3. Adjacent neighbor count is 2 表明 ,3 个 邻居 形成 2 个 邻接 关系 。 注 意 ,邻接 关系 只 在 
路 由 器 与 DR 及 BDR 之 间 建 立 (不 在 网 段 上 的 所 有 路 由 器 之 间 建 立 ) 。 

5. show ip ospf neighbor 

要 查看 路 由 器 的 所 有 OSPF 邻居 ,可 以 使 用 show ip ospf neighbor 命令 。 

在 路 由 器 RI 上 执行 命令 show ip ospf neighbor, 结 果 如 下 。 


R14 show ip ospf neighbor 


Neighbor ID Pri State Dead Time Address Interface 
192.168.6.1 1 FULL/DR 00:00:38 192.168.4.4 FastEthernet0/1 
192.168.5.1 1 FULL/BDR 00:00:38 192.168.4.3 FastEthernet0/1 
192.168.4.2 1 2WAY/DROTHER 00:00:38 — 192.168.4.2 FastEthernet0/1 
192.168.4.2 0 FULL/ - 00:00:38 192.168.2.2 Serial0/0/0 


在 路 由 器 R2 上 执行 命令 show ip ospf neighbor, 结 果 如 下 。 


R2# show ip ospf neighbor 


Neighbor ID Pri State Dead Time Address Interface 
192.168.6.1 1 FULL/DR 00:00:33 192.168.4.4 FastEthernet0/1 
192.168.5.1 L FULL/BDR 00:00:33 192.168.4.3 FastEthernet0/1 
192.168.4.1 L 2WAY/DROTHER 00:00:33 192.168.4.1 FastEthernet0/1 
192.168.4.1 0 FULL/ - 00:00:33 192.168.2.1 E] 


在 路 由 器 R3 上 执行 命令 show ip ospf neighbor. Zi An F 。 
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R3# show ip ospf neighbor 


Neighbor ID Pri State Dead Time Address Interface 
192.168.6.1 1 FULL/DR 00:00:32 192.168.4.4 FastEthernet0/0 
192.168.4.2 1. FULL/DROTHER 00:00:31 192.168.4.2 FastEthernet0/0 
192.168.4.1 T FULL/DROTHER 00:00:31 192.168.4.1 FastEthernet0/0 
R3# 


在 路 由 器 RA 上 执行 命令 show ip ospf neighbor, 结 果 如 下 。 


R4# show ip ospf neighbor 


Neighbor ID Pri State Dead Time Address Interface 
192.168.5.1 1 FULL/BDR 00:00:30 | 192.168.4.3 FastEthernet0/O 
192.168.4.2 1 FULL/DROTHER 00:00:30 192.168.4.2 FastEthernet0/0 
192.168.4.1 1 FULL/DROTHER 00:00:30 192.168.4.1 FastEthernet0/0 
R4# 


可 以 使 用 该 命令 列 出 路 由 器 的 所 有 OSPF 邻居 ,它们 的 OSPF 状态 、 它 们 的 路 由 器 ID 
以 及 邻居 连接 到 哪个 端口 。 

在 该 实例 中 ,连接 到 路 由 器 R1 的 Fa0/1 的 路 由 器 有 3 f: 192. 168. 6. 1 是 DR,192. 
168. 5. 1 是 BDR.192. 168. 4. 2 是 DROTHER( 其 他 路 由 器 ) 。 对 于 DR 和 BDR, 由 于 该 路 
由 器 与 DR 以 及 BDR 彼此 共享 路 由 选择 信息 ,所 以 状态 是 FULL, 这 是 所 期 待 的 结果 ， 
DROTHER 路 由 器 处 于 two-way 状态 ,表明 是 该 路 由 器 的 一 个 邻居 ,但 该 路 由 器 与 
DROTHER 路 由 器 不 会 彼此 直接 共享 路 由 选择 信息 。“192. 168. 4. 2 0 FULL/ - 00:00:38 
192. 168. 2. 2 Serial0/0/0” 表 明 ,连接 到 路 由 器 R1 的 So/0/0 的 路 由 器 有 1 台 : 该 路 由 器 的 
ID 为 192. 168. 4.2, 本 路 巾 器 通过 与 该 路 由 器 的 S0/0/0 端口 IP 地 址 为 192. 168. 2. 2 相连 ， 
属于 WAN 点 对 点 链 路 。 在 WAN 点 对 点 链 路 上 ,没有 DR 和 BDR 路 由 器 。 也 可 以 选择 将 
邻居 的 ID 添加 到 show ip interface neighbor 命令 中 ,以 获得 关于 特定 邻居 的 更 多 信息 。 

6. debug ip ospf adj 命令 

使 用 debug 命令 可 以 进行 更 详细 的 故障 排除 。 如 果 和 希望 查看 路 由 器 建立 到 其 他 路 由 器 
的 邻接 关系 进程 ,可 以 使 用 debug ip ospf adj 命令 。 

7. debug ip ospf events 命令 

该 命令 可 以 查看 路 由 器 上 的 OSPF 事件 。 

8. debug ip ospf packet 命令 

该 命令 可 以 查看 OSPF LSA 分 组 的 内 容 。 


6.3 EIGRP 路 由 技术 


6.3.1 EIGRP 简介 


1. EIGRP 特征 

EIGRP( 增 强 内 部 网 关 路 由 选择 协议 ) 是 Cisco 专 有 的 TCP/IP 路 由 选择 协议 。 从 本 质 
上 讲 , 它 是 一 种 距离 矢量 协议 ,但 是 又 内 建 了 很 多 链 路 状态 协议 的 优点 ,因此 称 为 混合 协议 。 
EIGRP 是 基于 Cisco 专 有 的 IGRP 路 由 选择 协议 ,因此 其 配置 与 IGRP 类 似 。EIGRP 拥有 
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许多 新 增 的 链 路 状态 特征 ,这些 特征 主要 包括 以 下 几 项 ， 

(1) 快速 收敛 (发 生 更 改 时 的 触发 更 新 和 本 地 保存 邻居 的 路 由 选择 表 ) 。 

(2) 无 环 路 拓扑 。 

(3) 支持 VLSM 和 路 由 汇总 。 

(4) 组 播 和 增 量 更 新 ,使 用 组 播 地 址 散布 路 由 选择 信息 , 增 量 更 新 ,所 以 它 的 网 络 开销 
更 少 。 

(5) 提供 在 6 条 路 径 上 进行 负载 均衡 (同等 成 本 或 非 同等 成 本 ) 。 

(6) 支持 智能 和 复杂 的 度量 值 结构 。 

(7) 同时 支持 多 种 可 路 由 协议 .如 IPLIPX 以 及 AppleTalk, 

2. EIGRP 度量 值 计 算 

EIGRP 使 用 度量 值 确定 到 目的 地 的 最 佳 路 径 。 对 于 每 一 个 子 网 , EIGRP 拓扑 表 包 含 
一 条 或 多 条 可 能 的 路 由 。 每 条 可 能 的 路 由 都 包含 各 种 度量 值 。EIGRP 路 由 器 根据 度量 值 
计算 一 个 整数 值 选 择 前 往 目 的 地 的 最 佳 路 径 。 

EIGRP 度量 值 使 用 带宽 (bandwidth) , ft $ (load) 、 延 迟 (delay)、 可 靠 性 (reliability) 以 
及 MTU 计算 ,它们 分 别 用 K1、K2、K3、K4 以 及 K5 表示 。 度 量 值 的 计算 公式 为 : 256 X 
{K1(10’ /带宽 ) 十 K2(107 /带宽 )/(256 一 负载 ) 十 K3( 延 迟 )/10 十 K5/( 可 靠 性 十 K4)}) ,默认 
情况 下 ,Kl 和 K3 的 值 为 1, 其 他 值 都 是 0, 因 此 ,EIGRP 度量 值 的 计算 公式 为 : 度量 值 = 
256X(107/ 最 小 带宽 十 累积 延 时 /10)。 默 认 情 况 下 ,只 有 带宽 和 延迟 用 于 度量 值 计算 ,其 他 
值 都 被 关闭 ,但 是 可 以 在 度量 值 算法 中 手动 启用 这 些 值 。 

EIGRP 使 用 扩散 更 新 算法 (Diffusing Update Algorithm,DUAL) 更 新 路 由 选择 表 。 该 
算法 通过 在 本 地 折 扑 表 中 存储 邻居 的 路 由 选择 信息 实现 非常 快速 的 收 剑 。 如 果 路 由 选择 表 
中 的 主要 路 由 失效 ,不 需要 与 其 他 EIGRP 相 邻 路 由 器 交谈 寻找 前 往 接收 站 的 替代 路 径 ， 
DUAL 可 以 从 拓扑 表 ( 邻 居 的 路 由 选择 表 ) 中 取出 备份 路 由 ,并 将 其 放 入 到 路 由 选择 表 中 。 

EIGRP 支持 自动 和 手动 汇总 。EIGRP 本 质 上 是 距离 向 量 协议 ,因此 它 会 自动 以 A 类 、 
B 类 和 C 类 网 络 边 界 汇总 路 由 。 也 可 以 在 有 类 网 络 中 谨慎 地 手动 汇总 。 

EIGRP 支持 3 种 可 路 由 协议 : IP(IPv4 和 IPv6)、IPX 和 AppleTalk。EIGRP 可 以 同时 
为 这 3 种 协议 进行 路 由 。 如 果 在 某 个 环境 里 运行 了 这 些 可 路 由 协议 , 则 使 用 EIGRP 最 合 
适 。 只 需 为 这 3 种 协议 运行 一 种 路 由 选择 协议 ,而 不 用 为 每 种 协议 运行 一 个 单独 的 路 由 选 
择 协议 ,从 而 显著 减少 了 路 由 选择 开销 。 

EIGRP 支持 路 由 汇总 以 及 为 [Pv4、IPv6、IPX 和 AppleTalk 进行 路 由 选择 。DUAL 算 
法 用 于 建立 一 个 无 环 路 的 路 由 选择 拓扑 。 


6.3.2 EIGRP 工作 原理 


EIGRP 学 习 与 其 直接 相连 的 邻居 以 外 的 网 络 部 分 拓扑 。 使 用 Hello 分 组 发 现 并 维持 
邻居 关系 (存储 在 邻居 表 中 ) 且 共享 路 由 选择 信息 (存储 在 拓扑 和 路 由 选择 表 中 )。EIGRP 
使 用 组 播 地 址 224. 0. 0. 0 作为 其 hello 分 组 的 目的 地 址 。EIGRP 在 LAN、 点 对 点 连接 和 至 
少 是 T1/E1 速度 的 点 对 点 连接 上 每 5 秒 生成 一 次 hello 分 组 。 除 此 以 外 ,hello 是 每 60 £F 
生成 一 次 。 失 效 时 间 间 隔 是 hello 时 间 间 隔 的 3 倍 。 

EIGRP 支持 组 播 和 增 量 更 新 。Hello 用 于 维持 RAM 中 的 EIGRP 邻居 和 EIGRP 拓扑 表 。 
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1. 邻居 关系 构建 

为 了 让 EIGRP 路 由 器 成 为 邻居 ,在 其 hello 分 组 中 必须 匹配 下 列 信息 : 四 自治 系统 号 ; 
OK 值 (K 值 启 用 /禁用 在 DUAL 算法 中 使 用 不 同 的 度量 值 组 件 )。 为 了 让 路 由 器 成 为 邻 
居 ,两 台 路 由 器 上 的 hello 和 抑制 计时 器 不 需要 匹配 。 

两 台 路 由 器 成 为 邻居 关系 ,需要 经 历 下 列 过 程 。 

(1) 第 一 台 路 由 器 生成 带 有 配置 信息 的 hello。 

(2) 如 果 配 置信 息 匹 配 (AS 号 和 值 ), 则 第 二 台 路 由 器 用 带 有 本 地 拓扑 信息 的 更 新 
消息 回应 。 

(3) 第 一 台 路 由 器 用 ACK 消息 回应 ,确认 接收 到 第 二 台 路 由 器 的 更 新 。 

(4) 第 一 台 路 由 器 通过 一 个 更 新 消息 将 其 拓扑 发 送 到 第 二 台 路 由 器 。 

(5) 第 二 台 路 由 器 用 ACK 回应 。 

经 过 以 上 步骤 ,两 台 路 由 器 已 经 收敛 。 该 过 程 与 OSPF 不 同 ,OSPF 是 通过 指定 路 由 器 
散布 路 由 选择 信息 。 对 于 EIGRP ,任何 路 由 器 都 可 以 同 其 他 任何 路 由 器 共享 路 由 选择 信 
息 。EIGRP 和 OSPF 一 样 是 面向 连接 的 : 路 由 器 发 送 的 特定 EIGRP 消息 会 期 待 来 自 接收 
站 的 确认 (ACK)。EIGRP 路 由 器 希望 返回 的 ACK 消息 类 型 如 下 。 

(1) 更 新 : 包含 路 由 选择 更 新 。 

(2) 查询 : 让 相 邻 路 由 器 验证 路 由 选择 信息 。 

(3) 应 答 : 回应 查询 消息 。 

如 果 一 台 EIGRP 路 由 器 没有 收 到 这 3 种 类 型 分 组 的 ACK ,路 由 器 会 尝试 16 次 重新 发 
送信 息 。 在 此 之 后 ,路 由 器 将 宣告 邻居 无 效 。 路 由 器 发 送 hello 分 组 时 ,不 期 望 会 接收 到 相 
应 的 ACK. 

5 种 EIGRP 消息 类 型 分 别 为 hello ,更 新 .查询 .应 答 和 确认 。 

2. 选择 路 由 

EIGRP 选择 路 由 使 用 的 度量 值 组 件 有 带宽 负载、 延迟 .可靠 性 以 及 MTU ,默认 只 有 带 
宽 和 延迟 被 启动 。 带 宽 和 延迟 与 Kl 和 K3 对 应 。 

EIGRP 使 用 的 重要 术语 见 表 6. 18。 


表 6.18 EIGRP 使 用 的 重要 术语 


R dB 定 X 


包含 EIGRP 邻居 列表 ,与 OSPF 中 指定 路 由 器 /备份 DR 和 网 段 上 其 他 路 由 器 之 间 建 立 的 


邻居 表 | 邻接 关系 表 类 似 。EIGRP 的 每 种 可 路 由 协议 (IP、IPX 和 AppleTalk) 都 有 自己 的 邻居 表 
wa 。 | OSPF 数据 库 类 似 ,包含 了 EIGRP 路 由 器 学 习 的 所 有 技 收 站 和 和 路 径 的 列表 一 它 基本 
上 是 相 邻 路 由 器 的 路 由 选择 表 的 编辑 。 每 种 可 路 由 协议 都 有 一 个 单独 的 拓扑 表 
后 继 这 是 在 拓扑 表 中 到 达 接收 站 的 最 佳 路 径 
一 这 是 在 拓扑 表 中 到 达 接 收 站 的 最 佳 千 份 路 径 一 对 于 一 个 特定 接收 站 ,可 能 存在 多 个 可 
wügm ERR 


路 由 选择 表 | 这 是 来 自 拓扑 表 的 所 有 的 后 继 路 由 ,每 种 可 路 由 协议 都 有 一 个 单独 的 路 由 选择 表 


通告 距离 | 这 是 相 邻 路 由 器 为 特定 路 由 通告 的 距离 (度量 值 ) 


这 是 路 由 器 用 于 到 达 特 定 路 由 的 距离 (度量 值 ): 邻接 路 由 器 的 通告 距离 加 上 本 地 路 由 器 
端口 的 度量 值 
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EIGRP 用 来 选择 到 接收 站 最 佳 路 径路 由 的 方法 没有 OSPF 复杂 ,因此 需要 更 少 的 
CPU 开销 ,但 它 需 要 比 RIPv2 等 距离 向 量 协议 更 多 的 处 理 。EIGRP 路 由 器 将 拓扑 信息 保 
存在 拓扑 表 中 ,其 中 包含 邻居 通告 的 路 由 、 这 些 路 由 的 邻居 通告 距离 以 及 该 路 由 器 到 达 这 些 
接收 站 的 可 行距 离 。 

后 继 路 由 是 在 拓扑 表 中 与 所 有 其 他 到 达 相 同 接收 站 的 蔡 代 路 径 相 比 ,具有 最 佳 度量 值 
(可 行距 离 ) 的 路 径 。 可 行 后 继 是 后 继 路 由 的 备份 路 由 。 

后 继 路 由 存储 在 IP 路 由 选择 表 和 EIGRP 拓扑 表 中 。 可 行 后 继 是 在 后 继 路 由 无 效 时 可 
以 使 用 的 有 效 备份 路 由 。 

并 非 所 有 路 由 都 能 选 作 可 行 后 继 。 为 了 让 拓扑 表 中 的 一 条 路 由 作为 可 行 后 继 ,邻居 路 
由 器 的 通告 距离 必须 小 于 原始 路 由 的 可 行距 离 。 如 果 路 由 选择 表 中 的 一 条 后 继 路 由 失效 ， 
并 且 在 拓扑 表 中 存在 一 条 可 行 后 继 ,EIGRP 路 由 器 会 进入 Passive 状态 (意味 着 存在 有 效 替 
代 路 由 ,并 可 以 在 路 由 选择 表 中 立即 使 用 ,无 须 联系 任何 通告 该 路 由 的 邻居 ) 一 一 它 立 刻 从 
拓扑 表 中 取出 可 行 后 继 ,并 将 其 放 入 路 由 选择 表 , 收 化 几乎 是 即时 的 。 如 果 EIGRP 路 由 器 
在 拓扑 表 中 没有 找到 可 行 后 继 , 则 它 会 进入 active 状态 (表明 存在 替代 路 径 ,但 可 能 有 效 或 
可 能 无 效 ) ,并 为 有 问题 的 路 由 生成 一 个 查询 分 组 。 该 查询 送 往 最 初 通告 该 路 由 的 邻居 。 

后 继 路 由 不 再 可 用 并 且 拓 扑 表 中 不 存在 可 行 后 继 路 由 时 ,组 播 EIGRP 查询 将 被 发 送 
到 所 有 通告 相同 路 由 的 其 他 邻居 ,以 确定 它们 是 否 有 到 接收 站 网 络 的 有 效 路 径 ( 后 继 路 由 ) 。 


6.3.3 EIGRP 配置 
配置 EIGRP 几乎 与 配置 RIPv2 一 样 简单 。 


Router (config)# router eigrp Autonomous system number< 1- 65535» 
Router (config- router) # network Network number (A.B.C.D)EIGRP wild card bits (A.B.C.D) 


启用 EIGRP 很 简单 : 需要 输入 自治 系统 (AS) 号 和 用 于 将 端口 加 入 EIGRP 的 network 
语句 。 即 使 EIGRP 是 无 类 的 ,但 所 指定 的 网 络 号 也 是 有 类 网 络 号 。 也 可 以 使 用 子 网 掩 码 
值 限定 网 络 号 ,但 只 包括 EIGRP AS 中 某 些 类 地 址 的 子 网 。 

配置 EIGRP 时 必须 指定 AS 号 。 即 使 EIGRP 是 无 类 的 ,使 用 network 命令 指定 网 络 
号 时 ,默认 也 必须 将 其 配置 为 有 类 协议 ,如 network 172. 16. 0.0 将 包括 与 子 网 172. 16. 1. 0/ 
24 和 172. 16. 100. 0/24 相关 的 端口 。 

如 图 6. 67 所 示 ,以 路 由 器 RI 为 例 ,路 由 选择 协议 EIGRP 的 配置 如 下 。 


Rl (config)# router eigrp 100 // 启 用 EIGRP 路 由 协议 
R1 (config- router)#network 172.16.0.0 // 将 172.16.0.0 网 络 端口 加 入 EIGRP 
R1 (config- router) # network 10.0.0.0 // 将 10.0.0.0 网 络 端口 加 入 EIGRP. 


R1 (config- router)# 


该 路 由 器 有 4 个 端口 : 172. 16. 1. 1/24,172. 16. 2. 1/24, 10. 1. 1. 1/24,10. 1. 2. 1/24, 
配置 network 命令 时 ,只 输入 A JS. B 2 9X C 类 网 络 号 ,或 者 用 子 网 掩 码 限制 地 址 。 上 面 例 
子 中 ,输入 B 类 和 A 类 网 络 号 ,在 所 有 4 个 端口 上 启动 了 EIGRP 路 由 选择 。 

还 可 以 使 用 network 语句 进行 更 具体 的 配置 ,通过 包含 子 网 掩 码 值 ,以 包括 EIGRP AS 
中 的 特点 端口 ,如 : 
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R1 (config)# router eigrp 100 

RI (config- router)# network 172.16.1.0 0.0.0.255 
RI (config- router)# network 172.16.2.0 0.0.0.255 
R1 (config- router)f network 10.1.1.0 0.0.0.255 


// 启 用 EIGRP 路 由 协议 

// 将 172.16.1.0/24 网 络 端口 加 入 EIGRP 
// 将 172.16.2.0/24 网 络 端口 加 入 EIGRP 
// 将 10.1.1.0/24 网 络 端口 加 入 EIGRP 


R1 (config- router) # network 10.1.2.0 0.0.0.255 // 将 10.1.2.0 网 络 端口 加 入 EIGRP 


R1 (config- router) # 

这 两 种 方法 在 实践 中 都 可 以 使 用 ,建议 使 用 后 者 ;特别 是 在 路 由 器 可 能 正在 运行 多 种 路 
由 选择 协议 (如 EIGRP 和 OSPF) ,并 且 只 想 在 每 个 路 由 选择 协议 中 只 包括 某 些 有 类 地 址 的 
子 网 情况 下 。 


172.16.2.0/24 
S0/0/0 


172.16.1.024 a 10.1.1.024 


Fa0/0 


2811 28114.1 281 
R3 RI! RS 


Fa0/1 


AS 100 


2811 


图 6.67 EIGRP 配置 网 络 拓扑 图 


6.3.4 ”其 他 EIGRP 命令 


其 他 EIGRP 命令 包括 负载 均衡 、 汇 总 等 。 

1. 负载 均衡 

EIGRP 负载 均衡 开始 从 两 个 角度 进行 分 析 , 包 括 对 等 和 非 对 等 。EIGRP 默认 支持 4 条 链 
路 的 不 等 价 的 负载 均衡 (所 有 路 由 基本 上 都 支持 )。 使 用 下 面 命令 可 支持 6 条 链 路 的 不 等 价 负 
载 均衡 。 

Router EIGRP 10 

Maximum- paths 6 设置 成 6 条 


参数 Variance 后 跟 差 异 度量 值 ,实现 负载 均衡 。 差 异 值 为 1 时 ,只 有 相同 度量 才 会 安 
置 到 本 地 路 由 表 中 ;差异 值 为 2 时 , 任 一 由 EIGRP 发 现 的 路 由 ,只 有 其 度量 少 于 继任 度量 的 
两 倍 , 才 会 被 安置 到 本 地 的 路 由 表 中 。 

EIGRP 负载 均衡 (CEIGRP load balancing): 每 个 路 由 协议 都 支持 等 值 路 径 的 负载 均 
衡 , 除 此 之 外 ,EIGRP 也 支持 不 等 值 路 径 的 负载 均衡 。 使 用 Variance 命令 向 路 由 器 通告 一 
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个 N 值 ,N 值 使 用 Variance 命令 指定 。N 值 为 1 一 128 ,默认 为 1。 
如 图 6. 68 所 示 «router E 有 3 条 路 径 到 网 络 X。 


E——-B——-A with a metric of 30 
E——-C——-A with a metric of 20 
E——D——-A with a metric of 45 


网 络 X 


图 6.68 EIGRP 负载 均衡 网 络 拓扑 图 


router E 选择 3 条 路 径 中 metric 值 最 小 的 路 径 E 一 C 一 A, 该 路 径 的 metric 值 为 20, 如 
果 和 希望 EIGRP 优先 选择 E 一 B 一 A 路 径 , 则 应 配置 Variance 值 为 乘 数 2。 


Router eigrp 1 
Network x.x.x.x 


Variance 2 


这 样 增 加 了 metric 到 40(25« 20 —40),. 3X FÉ. EIGRP 包括 了 所 有 metric 小 于 40 的 路 
由 ,在 上 面 的 配置 中 ,路 由 器 使 用 了 两 条 路 径 到 达 网 络 X, 分 别 为 E 一 C 一 A 和 下 一 B 一 A, 因 
为 两 条 路 径 的 metric 值 都 在 40 以内。 因为 E 一 D 一 A 的 metric 为 45, 大 于 40, 所 以 EIGRP 
不 选择 此 条 路 径 到 达 网 络 X。 如 果 路 由 器 D 报告 到 达 网 络 X 的 metric 为 25, 则 这 个 值 比 
可 行 的 metric 值 20 要 大 。 这 就 意味 着 即使 Variance 设置 为 3,E 一 D 一 A 路 径 也 不 会 被 选 
择 为 负载 均衡 的 路 径 ,因为 router D 不 是 可 行 的 后 继 者 。 

2. ES 

EIGRP 自动 汇总 类 边界 上 的 路 由 。 

如 图 6. 69 以 及 图 6. 70 所 示 , 如 果 路 由 器 连接 到 172. 16. 0. 0/16 中 的 子 网 和 一 个 独立 
的 网 络 ,如 192. 168. 1.0/24, 那 么 EIGRP 将 172. 16. 0. 0/16 路 由 从 192. 168. 1. 0/24 端口 
发 出 (而 不 是 特定 子 网 172. 16. 1. 0/24 或 者 172. 16. 2. 0/24) 。 如 果 网 络 分 成 172. 16. 1. 0/ 
24 和 172.16. 2. 0/24 两 部 分 ,但 通过 192. 168. 1. 0/24 连接 起 来 ,将 导致 可 到 达 性 问题 , 因 
为 两 边 都 在 网 络 边界 通告 172. 16. 0. 0/16。 

关闭 EIGRP 自动 汇总 ,可 使 用 以 下 配置 。 
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Router (config)# router eigrp Autonomous system number < 1- 65535> 


Router (config- router)# no auto- summary 


关闭 自动 汇总 ,就 会 将 EIGRP 进程 转换 为 无 类 协议 。 
拥有 不 连续 类 地 址 子 网 并 使 用 EIGRP 路 由 选择 进程 时 ,可 在 EIGRP 路 由 器 上 使 用 no 
auto-summary 关闭 自 动 汇总 功能 。 


2811 


有 类 路 由 器 C 
172.16.0.016| 一 一 一 一 [72460016 
172.16.1.024 2811 192.168.1.024 2811 172.16.2.0/24 
路 由 器 A 路 由 器 B 


图 6.69 有 类 不 连续 子 网 汇总 网 络 拓扑 


2811 
无 类 路 由 器 C 


172.16.1.0/24 广 一 一 一 一 | 172.16.2.0/24 


172.16.1.0/24 2811 192.168.1.024 2811172.16.2.0/24 
路 由 器 A 路 由 器 B 


图 6.70 无 类 不 连续 子 网 汇总 网 络 拓扑 


6.3.5 邻居 认证 


EIGRP 支持 使 用 MD5 算法 对 来 自 邻 居 的 路 由 选择 更 新 进行 认证 。 使 用 MD5 认证 路 
由 选择 更 新 可 以 确保 路 由 器 只 接受 来 自 授权 路 由 器 的 更 新 ,防止 不 支持 的 路 由 器 向 路 由 选 
择 进 程 注 入 坏 的 路 由 选择 更 新 。 
设置 EIGRP 认证 需要 3 个 步骤 : 启用 EIGRP 定义 用 于 MD5 认证 的 密 钥 .启用 认证 。 
定义 MD5 认证 的 密 钥 ,使 用 以 下 配置 。 


Router (config)# key chain name of key chain 


Router (config-keychain)fkey key number 


Router (config- keychain- key)# key- string key value 


key chain 命令 指定 了 要 使 用 的 密 钥 信 息 的 名 称 : 名 称 只 在 本 地 意义 。 执 行 该 命令 后 ， 


将 进入 子 命令 模式 。key 子 命令 模式 命令 指定 了 密 钥 数 , 它 必 须 在 该 网 段 中 使 月 


的 所 有 路 由 器 上 匹配 ;该 命令 将 进入 第 二 个 子 命令 模式 。 
key-string 命令 指定 实际 的 认证 密 钥 , 它 的 长 度 可 以 多 达 16 个 字符 。 每 个 密 钥 可 以 有 
一 个 单独 的 生命 周期 值 ,允许 不 同 的 密 钥 可 以 用 在 不 同 的 时 期 ;然而 ,如 果 使 用 这 种 方法 , 建 
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议 使 用 网 络 时 间 协 议 (Network Time Protocol,NTP) 同 步 路 由 器 上 的 日 期 和 时 间 。 
如 图 6.71 所 示 ,路 由 器 RA 上 的 配置 如 下 。 
EIGRP 


图 6.71 EIGRP 认证 网 络 拓扑 图 


RA (config)# int s0/0/0 

RA (config- if)# ip authentication mode eigrp 12 md5 

RA (config- if)# ip authentication key- chain eigrp 12 RAchain 
RA(config-if)fexit 

RA (config)t key chain RAchain 

RA (config- keychain)# key 67 

RA (config- keychain- key) # key- string test 

RA (config- keychain- key) # end 


路 由 器 RB 上 的 配置 如 下 。 


RB (config)#int s0/0/0 

RB (config- if)# ip authentication mode eigrp 12 md5 

RB (config- if)# ip authentication key- chain eigrp 12 RBchain 
RB(config-if)fexit 

RB (config)# key chain RBchain 

RB (config- keychain) # key 67 

RB (config- keychain- key) # key- string test 

RB (config- keychain- key) € end 


6.3.6 EIGRP 故障 排除 
故障 排除 的 常用 命令 如 下 。 


show ip protocols 

show ip route 

show ip eigrp neighbors 
show ip eigrp topology 
show ip eigrp interfaces 
show ip eigrp traffic 
debug ip eigrp 

debug eigrp packets 


图 6. 72 Jy EIGRP 故障 排除 拓扑 图 。 
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192.168.2.0/24 
2 
> 2811 BIGRP 2811 N 
192.168.1.024 ,^ RA RB ^*192.168.3.0/24 

y^ S 

d 他 
S 
E 5 
PC-PT 
eg PC-PT 


图 6.72 EIGRP 故障 排除 拓扑 图 


1. show ip protocols 
可 以 使 用 show ip protocols 命令 显示 已 经 在 路 由 器 上 配置 并 且 正 在 运行 的 TP 路 由 选 
择 协议 。 
Rl# show ip protocols 
Routing Protocol is "eigrp 1 " 
Outgoing update filter list for all interfaces is not set 
Incoming update filter list for all interfaces is not set 
Default networks flagged in outgoing updates 
Default networks accepted from incoming updates 
EIGRP metric weight K1-1, K2-0, K3-1, K4-0, K5-0 
EIGRP maximum hopcount 100 
EIGRP maximum metric variance 1 
Redistributing: eigrp 1 
Automatic network summarization is in effect 
Automatic address summarization: 
Maximum path: 4 
Routing for Networks: 
192.168.1.0 
192.168.2.0 
Routing Information Sources: 
Gateway Distance Last Update 
192.168.2.2 90 15927892 


Distance: internal 90 external 170 


在 该 命令 中 ,可 以 看 到 AS 是 1, 变 化 因子 是 1( 只 支持 同等 成 本 负载 均衡 )。 启 用 了 KI 
和 K3 度量 值 ,这 意味 着 计算 度量 值 时 , DUAL. 算法 只 使 用 带宽 和 延迟 。 配置 了 两 条 
network 语句 : 192. 168. 1. 0 和 192. 168. 2. 0。 有 一 台 相 邻 路 由 器 192. 168. 2. 2。 内 部 
EIGRP 的 管理 距离 是 90( 同 一 AS 号 内 的 路 由 器 ) 。 


2. show ip route 


Rl# show ip route 
Codes: C - connected, S - static, I — IGRP, R - RIP, M — mobile, B -BGP 
D —EIGRP, EX —EIGRP external, O —OSPF, IA -OSPF inter area 
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N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1l, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll - IS- IS level-1, L2 -IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U - per-user static route, o -ODR 
P -periodic downloaded static route 
Gateway of last resort is not set 
C  192.168.1.0/24 is directly connected, FastEthernet0/0 
C  192.168.2.0/24 is directly connected, Serial0/0/0 
D 192.168.3.0/24 [90/2172416] via 192.168.2.2, 00:02:59, Serial0/0/0 
RH 


在 显示 的 底部 ,第 一 列 中 的 D 代表 EIGRP 路 由 。 在 该 实例 中 ,有 一 条 从 192. 168.2. 2 
学 到 的 EIGRP 路 由 。 对 于 EIGRP 路 由 ,会 在 方 括号 ([]) 中 看 到 两 组 值 。 第 一 个 值 指示 路 
由 的 管理 距离 (90) ,第 二 个 值 指示 路 由 器 的 可 行距 离 ( 度 量 值 )。 从 后 面 可 看 到 与 该 路 由 相 
关联 的 路 由 , 即 多 久之 前 接收 到 关于 这 个 路 由 或 邻居 的 更 新 ,以 及 要 使 用 路 由 器 上 的 哪个 本 
地 端口 到 达 邻 居 。 

注意 : 路 由 选择 表 中 的 D 表示 EIGRP 路 由 。EIGRP 路 由 的 管理 距离 是 90。 

3. show ip eigrp neighbors 


Rl# show ip eigrp neighbors 
IP- EIGRP neighbors for process 1 


H Address Interface Hold Uptime SRTT RTO Q Seq 
(sec) (ms) Cnt Num 
0 192.168.2.2 Se0/0/0 13 00:04:07 40 1000 0 4 


在 该 实例 中 有 一 个 邻居 (192. 168. 2.2)。 表 6. 19 显示 了 show ip eigrp neighbors 命令 
中 的 字段 。 
表 6.19 show ip eigrp neighbors 命令 中 的 字段 


字 RB 描 述 
邻居 的 EIGRP 路 由 选择 进程 的 AS 号 ;如 果 路 由 器 正在 运行 多 个 AS, 会 看 到 


Process 邻居 的 不 同 部 分 ,每 个 部 分 都 列 在 一 个 不 同 的 AS 号 下 

Address EIGRP 邻居 的 IP 地 址 

Interface 正在 接收 邻居 hello 的 路 由 器 端口 

Hold 在 没有 看 到 邻居 的 hello 消息 时 ,宣告 邻居 无 效 之 前 还 剩 多 少时 间 
Uptime 知道 邻居 多 长 时 间 了 


SRTT( 平 滑 往返 时 间 , | 路 由 器 向 邻居 发 送 EIGRP 信息 与 得 到 ACK 返回 需要 花费 的 时 间 量 ,以 毫秒 
smoothround-trip time) | 为 单位 


路 由 器 将 来 自传 送 队列 的 EIGRP 分 组 重新 发 送 到 邻居 前 要 等 待 的 时 间 量 ,以 


RTO 


毫秒 为 单位 
Q Cnt 已 经 放 和 人 队列 中 准备 发 送 给 邻居 的 更 新 /查询 /应 答 分 组 数 
Seq Num 邻居 上 次 发 送 的 最 后 更 新 /查询 /应 答 分 组 序列 号 


195 


网 络 互联 技术 与 实践 


show ip eigrp neighbors 命令 用 于 显示 与 路 由 器 有 邻接 关系 的 EIGRP 路 由 器 ,它们 的 
IP 地 址 、 重 新 传输 时 间 间 隔 以 及 它们 的 队列 数 。 如 果 没 有 看 到 邻居 , 须 确保 EIGRP 路 由 选 
择 进程 中 的 network 命令 包含 邻居 连接 到 的 端口 。 

4. show ip eigrp topology 


Rl# show ip eigrp topology 
IP-EIGRP Topology Table for AS 1 
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, 
r -Reply status 
P 192.168.1.0/24, 1 successors, FD is 28160 
via Connected, FastEthernet0/0 
P 192.168.2.0/24, 1 successors, FD is 2169856 
via Connected, Serial0/0/0 
P 192.168.3.0/24, 1 successors, FD is 2172416 
via 192.168.2.2 (2172416/28160), Serial0/0/0 
RH 


列 出 邻居 的 路 由 时 ,会 看 到 括号 中 有 两 个 值 。 第 一 个 值 是 可 行距 离 (到 达 接收 站 的 路 由 
器 度量 值 ) ,第 二 个 值 是 通告 距离 (邻居 通告 的 度量 值 ) 。 

5. show ip eigrp interfaces 

Rl# show ip eigrp interfaces 


IP-EIGRP interfaces for process 1 


Xmit Queue Mean Pacing Time Multicast Pending 


Interface Peers Un/Reliable SRTT  Un/Reliable Flow Timer Routes 
Fa0/0 0 0/0 1236 0/10 0 0 
8e0/0/0 2 0/0 1236 0/10 0 

RH 


6. show ip eigrp traffic 


R14 show ip eigrp traffic 
IP-EIGRP Traffic Statistics for process 1 
Hellos sent/received: 189/88 
Updates sent/received: 2/3 
Queries sent/received: 0/0 
Replies sent/received: 0/0 
Acks sent/received: 3/2 
Input queue high water mark 1, 0 drops 
SIA- Queries sent/received: 0/0 
SIA- Replies sent/received: 0/0 
R14 


6.4 混合 路 由 协议 通信 


在 实际 的 大 型 网 络 工程 项 目 中 ,往往 涉及 多 种 动态 路 由 协议 混合 使 用 的 情况 。 一 般 情 
况 下 ,不 同 的 动态 路 由 协议 之 间 是 不 可 以 互相 学 习 到 路 由 信息 的 ,路 由 重 分 发 可 以 解决 这 个 


196 


第 6 章 动态 路 由 技术 


问题 。 为 了 实现 混合 路 由 协议 ,设计 了 两 个 不 同 的 部 门 ,分别 是 信息 工程 系 和 工商 管理 系 ， 
其 中 信息 工程 系 的 网 络 是 通过 动态 路 由 协议 OSPF 进行 互联 互通 的 ,而 工商 管理 系 的 计算 
机 是 通过 动态 路 由 协议 RIP 互联 互通 的 , 现 要 求 将 这 两 个 不 同 部 门 的 网 络 进行 互联 互通 。 
混合 路 由 实验 拓扑 结构 图 如 图 6. 73 所 示 。 


| 
信息 工程 系 | 工商 管理 系 
OSPF l RIP 
1 
S0/0/0 S0/0/0 | S01 S0/01 
1 


172.16.255.1/30 172.16.255.2/301 192.168.255.2/24 192.168.255.1/24 


2811 2811 281 F00 
R3 | 


R2 192.168.1.1/24 
i 
emo pe i 
S Switchl Switch2 


1 
1 
1 
1 
1 
1 
I 
1 
1 
1 
1 


(LI 


人 一， \ 
PC-PT PC-PT PC-PT 
PC1 PC3 PC4 


图 6.73 混合 路 由 实验 拓扑 结构 图 


整个 拓扑 涉及 Cisco 2811 路 由 器 3 台 、Cisco 2950 交换 机 两 台 .终端 测试 计算 机 4 台 。 
其 中 ,信息 工程 系 路 由 器 Rl 和 路 由 器 R2 之 间 通 过 串口 S0/0/0 相连 ,工商 管理 系 路 由 器 
R3 和 路 由 器 R2 之 间 通 过 串口 S0/0/1 相连 。 路 由 器 R1 的 Fo/0 口 通过 交换 机 连接 信息 工 
程 系 的 计算 机 ,路 由 器 R3 的 Fo/0 口 通过 交换 机 连接 工商 管理 系 的 计算 机 。 

两 台 路 由 器 利用 串口 相连 时 ,需要 在 两 台 路 由 器 上 添加 广域网 模块 。 具 体操 作为 : CD 
击 需 要 添加 模块 的 路 由 器 R1 ,弹出 如 图 6. 74 所 示 的 窗口 ,之 后 关闭 机 器 的 电源 。@ 在 窗口 


Physical | Config | cu 


^ Physical Device View 


NM-2E2W. 
NM-2FE2W 


Zoom In ] Original Size J Zoom Out 


NM-Cover 


NM-ESW-161 
HWIC-4ESW 
HWIC-AP-AG-B 


WIC-1AM a 
WIC-1ENET 


Customize 
Icon in 
Physical View 


Customize 
Icon in 
Logical View 
slot on the device. 


[Adding Modules: Drag the module to an available = 
Removing Modules: Drag the module from the sul * 


图 6.74 开关 电源 以 及 添加 删除 模块 窗口 
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的 Physical 区 (图 6. 74) 选 择 WIC-2T 模块 ,将 它 拖 放 到 空 的 模块 槽 中 ,然后 释放 鼠标 。 
@ 重 新 打开 电源 。 使 用 同样 的 方法 ,分别 为 路 由 器 R2、R3 添加 WIC-2T 模块 。 


网 络 拓扑 中 端口 和 终端 的 IP 地址 分 配 见 表 6. 20。 
表 6.20 端口 和 终端 的 IP 地址 分 配 


S0/0/0 S0/0/1 F0/0 
R1 172. 16. 255. 1/30 172. 16. 1. 1/24 
R2 172. 16. 255. 2/30 192. 168. 255. 2/24 
R3 192. 168. 255. 1/24 192. 168. 1. 1/24 
PC1/PC2 172. 16. 1. 0/24 网 关 : 172. 16. 1. 1 
PC3/PC4 192. 168. 1. 0/24 网 关 : 192. 168. 1. 1 


对 终端 计算 机 的 IP 地 址 配置 具体 如 下 。 通 过 Packet Tracer 模拟 器 的 终端 机 器 的 图 形 
界面 可 以 方便 地 设置 PC ff IP 地址 。Q@ 依 次 单 击 需 要 配置 IP 地 址 的 4 台 终 端 设备 ,在 弹出 
的 窗口 中 选择 Desktop 菜单 。@ 在 Desktop 菜单 中 单 击 IP Configuration ,在 弹出 的 窗口 中 
设置 IP 地 址 ,如 图 6.75 所 示 。4 台 计 算 机 的 了 P 配 置信 息 分 别 为 PC1: 172. 16. 1. 2/24 ,网 
Æ 172. 16. 1. 1;PC2: 172. 16. 1. 3/24 ,网 关 172. 16. 1. 1; PC3 : 192. 168. 1. 2/24 ,网 关 192. 


168. 1. 1;PC4; 192. 168. 1. 3/24 ,网 关 192. 168. 1.1. 
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图 6.75 终端 机 器 IP 地 址 设置 界面 


命令 配置 及 解析 如 下 。 


(1) 配置 各 台 路 由 器 的 IP 地 址 ,并 且 使 用 ping 命令 确认 各 路 由 器 的 直 连 口 的 互通 性 。 


O 对 路 由 器 R1 进行 基本 配置 。 


Router> en // 进 入 特权 模式 

Router# config t // 进 入 全 局 配置 模式 

Router (config)#hostname R1 // 为 路 由 器 命名 为 R1 

R1 (config)# interface fastEthernet 0/0 // 进 入 路 由 器 Rl 的 端口 F0/0 
Rl(config-if)fip address 172.16.1.1 255.255.255.0 ”// 为 路 由 器 端口 F0/0 设 置 TP 地址 
R1 (config- if)#no shu // 激 活 端口 F0/0 

R1 (config- if)# exit // 退 出 


R1 (config) # interface serial 0/0/0 
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// 进 入 路 由 器 串 行 端口 50/0/0 


Rl(config-if)fip address 172.16.255.1 255.255.255.252 


// 为 路 由 器 串 行 端口 sS0/0/0 设 置 IP 地 址 


R1 (config-if)fno shu 
© 对 路 由 器 R2 进行 基本 配置 。 


Router> en 

Router# config t 

Router (config) # hostname R2 

R2 (config)# interface serial 0/0/0 


// 激 活路 由 器 端口 sS0/0/0 


// 进 入 特权 模式 

// 进 入 全 局 配置 模式 

// 为 路 由 器 命名 

// 进 入 路 由 器 串 行 端口 s0/0/0 


R2 (config- if)# ip address 172.16.255.2 255.255.255.252 


R2 (config- if)#no shu 

R2 (configr- if)# clock rate 64000 
R2(config-if)fexit 

R2 (config)# interface serial 0/0/1 


// 为 路 由 器 串 行 端口 s0/0/0 设 置 IP 地 址 
// 激 活路 由 器 串 行 端口 s0/0/0 

// 设 置 端 口 的 时 钟 频率 

// 退 出 

// 进 入 路 由 器 串 行 端口 s0/0/1 


R2 (config-if)fip address 192.168.255.2 255.255.255.0 


R2 (config- if)#no shu 
R2 (config- if)# clock rate 64000 


© 对 路 由 器 R3 进行 基本 配置 。 


Router> en 

Router# config t 

Router (config) # hostname R3 

R3 (config) # interface fastEthernet 0/0 


// 为 路 由 器 串 行 端口 s0/0/1 设置 IP 地 址 
// 激 活路 由 器 串 行 端口 So/O/1 
// 设 置 路 由 器 串 行 端口 s0/0/1 的 时 钟 频率 


// 进 入 特权 模式 

// 进 入 全 局 配置 模式 

// 为 路 由 器 命名 
// 进 入 路 由 器 的 端口 Fo/0 


R3(config- if)#ip address 192.168.1.1 255.255.255.0 


R3 (config- if)#no shu 
R3 (config- if)#exit 
R3(config)# interface serial 0/0/1 


// 为 路 由 器 端口 fo/0 设 置 IP 地 址 
// 激 活路 由 器 端口 Fo/0 

// 退 出 

// 进 入 路 由 器 串 行 端口 s0/0/1 


R3(config-if)fip address 192.168.255.1 255.255.255.0 


R3(config- if)# no shu 


基本 配置 完成 后 ,通过 ping 命令 确认 各 路 由 器 的 直 连 口 的 互通 性 。 测 试 结果 为 全 通 。 


// 为 路 由 器 串 行 端口 50/0/1 设 置 TP 地 址 
// 激 活路 由 器 串 行 端口 So/O/1 


(2) 配置 R1 与 R2 的 OSPF 路 由 协议 和 R2 与 R3 的 RIP 路 由 协议 。 


(D 配置 R1 与 R2 的 OSPF 路 由 协议 。 


Rl»en 
Rl# config t 
R1 (config) # router ospf 1 


// 进 入 特权 模式 
// 进 入 全 局 配置 模式 
// 启 动 路 由 器 1 的 动态 路 由 协议 osPF 


Rl(config-router)fnetwork 172.16.1.0 0.0.0.255 area 0 // 宣 告 网 络 地 址 和 区 域 号 
R1 (config- router) # network 172.16.255.0 0.0.0.3 area 0 // 宣 告 网 络 地 址 和 区 域 号 


R1 (config- router)#end 
R2»en 


// 进 入 特权 模式 
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R2# config t // 进 入 全 局 配置 模式 
R2 (config)# router ospf 1 // 启 动 路 由 器 1 的 动态 路 由 协议 oSPF 
R2 (config- router)#network 172.16.255.0 0.0.0.3 area 0 


// 宣 告 和 路 由 器 1 连接 的 网 络 的 网 络 地 址 和 区 域 号 


R2 (config- router)#end 


© 配置 R2 与 R3 的 RIP 路 由 协议 。 


R2# config t // 进 入 特权 模式 

R2 (config)# router rip // 启 动 路 由 器 1 的 动态 路 由 协议 RIP 
R2 (config- router)# version 2 // 启 动 动态 路 由 协议 RIP 的 版 本 2 
R2 (config- router)#no auto- summary // 取 消 自动 汇总 功能 

R2 (config- router)#network 192.168.255.0 // 宣 告 和 路 由 器 3 连接 的 网 络 的 网 络 地 址 
R2 (config- router)# end 

R3»en // 进 入 特权 模式 

R3# config t // 进 入 全 局 配置 模式 

R3 (config)# router rip // 启 动 路 由 器 3 的 动态 路 由 协议 RIP 
R3 (config- router) # version 2 // 启 动 动态 路 由 协议 RIP 的 版 本 2 
R3 (config- router) # no auto- summary // 取 消 自动 汇总 功能 

R3 (config- router)#network 192.168.255.0 // 宣 告 网 络 地址 

R3 (config- router)# network 192.168.1.0 // 宣 告 网 络 地址 


R3 (config- router) # end 


(3) 查看 R1、R2 和 R3 的 路 由 表 。 
(D 查看 R1 的 由 表 。 


Rl# show ip route 

172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
g 172.16.1.0/24 is directly connected, FastEthernet0/0 
c 172.16.255.0/30 is directly connected, Serial0/0/0 


结果 没有 学 习 到 动态 路 由 信息 。 
© 查看 R2 的 路 由 表 。 


R2# show ip route 

172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
o 172.16.1.0/24 [110/65] via 172.16.255.1, 00:05:38, Serial0/0/0 
c 172.16.255.0/30 is directly connected, Serial0/0/0 
R 192.168.1.0/24 [120/1] via 192.168.255.1, 00:00:12, Serial0/0/1 
c 192.168.255.0/24 is directly connected, Serial0/0/1 


© 查看 R3 的 路 由 表 。 


R3# show ip route 
c 192.168.1.0/24 is directly connected, FastEthernet0/O 
c 192.168.255.0/24 is directly connected, Serial0/0/1 


结果 没有 学 习 到 动态 路 由 信息 。 
从 show ip route 命令 可 以 看 出 ,只 有 R2 路 由 才 可 以 学 习 到 整个 网 络 的 完整 路 由 ,因为 
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R2 路 由 处 于 OSPF 与 RIP 网 络 的 边界 ,其 同时 运行 了 两 种 不 同 的 路 由 协议 。 
(4) 为 了 确保 R1 和 R2 能 够 学 习 到 整个 网 络 路 由 ,可 在 R2 上 配置 路 由 重 发 布 。 具 体 
配置 如 下 。 


R2# config t // 进 入 全 局 配置 模式 
R2 (config)# router ospf 1 // 进 入 动态 路 由 协议 ospe 
R2 (config- router)#redistribute rip metric 200 subnets 
// 将 RIP 网 络 的 路 由 重 发 布 到 osPF 的 网 络 中 ,并 且 指 定 其 度量 为 200, subnets 命令 可 以 确保 RIP 
// 网 络 中 的 无 类 子 网 路 由 能 够 正确 地 被 发 布 
R2 (config- router)# exit // 退 出 
R2 (config)# router rip // 进 入 动态 路 由 协议 RIP 
R2 (config- router)# redistribute ospf 1 metric 10 
// 将 ospr 网 络 路 由 重 发 布 到 RIP 中 ,并 指定 其 度量 跳 数 为 10 
R2 (config- router)fexit // 退 出 


(5) 查看 RI 路 由 器 和 R3 路 由 器 的 路 由 表 。 
(D UR RI 的 路 由 表 。 


Rl# show ip route 

172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
c 172.16.1.0/24 is directly connected, FastEthernet0/0 
172.16.255.0/30 is directly connected, Serial0/0/0 
O E2 192.168.1.0/24 [110/200] via 172.16.255.2, 00:00:57, Serial0/0/0 
O E2 192.168.255.0/24 [110/200] via 172.16.255.2, 00:00:57, Serial0/0/0 
RH 


结果 表明 ,R1 已 经 通过 重 发 布 的 配置 ,学习 到 了 RIP 网 络 的 路 由 。 
© 查看 R3 的 路 由 表 。 


R3# show ip route 

172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
R 172.16.1.0/24 [120/10] via 192.168.255.2, 00:01:02, Serial0/0/1 
R 172.16.255.0/30 [120/10] via 192.168.255.2, 00:01:02, Serial0/0/1 
c 192.168.1.0/24 is directly connected, FastEthernet0/0 
c 192.168.255.0/24 is directly connected, Serial0/0/1 


结果 表明 ,R3 学 习 到 了 OSPF 的 路 由 。 
(6) 实验 结果 验证 。 


PC»ping 192.168.1.2 
Pinging 192.168.1.2 with 32 bytes of data: 

Request timed out. 

Reply from 192.168.1.2: bytes-32 time- 188ms TTL- 125 
Reply from 192.168.1.2: bytes-32 time-172ms TTL- 125 
Reply from 192.168.1.2: bytes-32 time-172ms TTL- 125 
Ping statistics for 192.168.1.2: 
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Packets: Sent —4, Received =3, Lost =1 (25% 10ss), 
Approximate round trip times in milli- seconds: 

Minimum —172ms, Maximum —188ms, Average —177ms 
PC 


通过 信息 工程 系 的 一 台 计算 机 PCI ping 工商 管理 系 的 一 台 计 算 机 PC3, 结 果 是 连通 
的 ,说 明 信 息 工 程 系 和 工商 管理 系 的 网 络 通 过 动态 路 由 协议 的 重 分 发 而 起 作用 ,结果 整个 网 
络 是 互联 互通 的 。 


6.5 本章 小 结 


本 章 主 要 讲解 常见 的 动态 路 由 协议 RIP, OSPF 以 及 EIGRP。 首 先 讲解 了 动态 路 由 协 
W RIPv1 的 工作 原理 及 配置 方法 ,接着 讲解 了 动态 路 由 协议 RIPv2 的 工作 原理 及 配置 方 
法 。 其 次 讲解 了 动态 路 由 协议 OSPF 的 工作 原理 及 配置 方法 ,分 析 了 OSPF 路 由 度量 值 的 
计算 方法 ,讲述 了 OSPF 动态 路 由 协议 DR 以 及 BDR 的 工作 原理 及 选举 过 程 ,探讨 了 路 由 
重 分 布 原理 及 配置 过 程 ,同时 分 析 了 OSPF 动态 路 由 协议 的 认证 过 程 ,包括 明文 认证 、 密 文 
认证 以 及 区 域 认 证 ,探讨 了 动态 路 由 协议 OSPF 故障 排除 的 常见 命令 。 

本 章 最 后 讲解 了 Cisco 专用 动态 路 由 协议 EIGRP 的 工作 原理 及 配置 方法 ,分 析 了 
EIGRP 度量 值 的 计算 方法 ,探讨 了 动态 路 由 协议 EIGRP 的 密 文 认证 过 程 及 动态 路 由 协议 
EIGRP 故障 排除 的 常见 命令 。 


6.6 习题 


简 答 题 

l. 简 述 RIP 路 由 协议 的 工作 原理 。 

2. 简 述 OSPF 路 由 协议 的 工作 原理 。 

3. 简 述 EIGRP 路 由 协议 的 工作 原理 。 
操作 题 

1. 利用 RIP 路 由 协议 实现 网 络 互联 互通 。 
2. 利用 OSPF 路 由 协议 实现 网 络 互联 互通 。 
3. 利用 EIGRP 路 由 协议 实现 网 络 互联 互通 。 
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本 章 学 习 目标 

。 了 解 基 本 的 二 层 交 换 技 术 和 三 层 交 换 技 术 

。 掌握 三 层 交 换 工 作 原 理 

。 掌握 三 层 交 换 和 路 由 器 的 区 别 

。 了 解 不 同 VLAN 间 不 能 互相 通信 的 原理 

。 掌握 利用 路 由 器 实现 VLAN 间 通 信 的 配置 过 程 
。 掌握 单 辟 路 由 的 配置 过 程 

。 掌握 利用 三 层 交 换 机 实现 跨 VLAN 通信 配置 过 程 


本 童 首先 介绍 二 层 交 换 技术 和 三 层 交 换 技 术 ,详细 介绍 三 层 交 换 的 工作 原理 ,探讨 三 层 
交换 和 路 由 器 的 区 别 , 分 析 不 同 VLAN 间 不 能 通信 的 原理 ,接着 详细 讲解 利用 路 由 器 实现 
VLAN 间 通 信 的 配置 过 程 ,以 及 利用 单 臂 路 由 实现 不 同 VLAN 间 通 信 的 配置 过 程 。 本 章 
最 后 详细 讲解 利用 三 层 交 换 机 实现 不 同 VLAN 间 通 信 的 配置 过 程 。 


7.1 交换 技术 概述 


随 着 Internet 的 发 展 ,局 域 网 和 广域网 技术 得 到 了 广泛 的 推广 和 应 用 。 数 据 交换 技术 
从 简单 的 电路 交换 发 展 到 二 层 交 换 , 从 二 层 交 换 又 逐渐 发 展 到 今天 较 成 熟 的 三 层 交 换 , 以 后 
还 会 发 展 到 将 来 的 高 层 交 换 。 三 层 交 换 技术 是 指 二 层 交换 技术 加 三 层 转 发 技术 , 它 解决 了 
局 域 网 中 网 段 划 分 之 后 ,网 段 中 子 网 必须 依赖 路 由 器 进行 管理 的 局 面 , 解 决 了 传统 路 由 器 低 
速 、 复 杂 造 成 的 网 络 瓶 颈 问 题 。 

二 层 交 换 技 术 从 网 桥 发 展 到 VLAN( 虚 拟 局 域 网 ) ,在 局 域 网 建设 和 改造 中 得 到 了 广泛 
的 应 用 。 二 层 交 换 技术 工作 在 OSI 七 层 网 络 模型 中 的 第 二 层 , 即 数据 链 路 层 。 它 按照 接收 
到 的 数据 包 目 的 MAC 地 址 进行 转发 ,对 于 网 络 层 或 者 高 层 协 议 来 说 是 透明 的 。 它 不 处 理 
网 络 层 的 IP 地 址 ,不 处 理 高 屋 协 议 ( 如 TCP、UDP) 的 端口 地 址 ,只 需要 数据 包 的 物理 地 址 ， 
HU MAC 地 址 。 二 层 交 换 的 优点 是 数据 交换 靠 硬件 实现 ,速度 快 ,但 它 不 能 处 理 不 同 IP F 
网 间 的 数据 交换 。 传 统 路 由 器 可 以 处 理 大 量 的 跨越 IP 子 网 的 数据 包 , 但 是 它 的 转发 效率 比 
二 层 低 , 因 此 既 想 利用 二 层 交 换 转 发 效率 高 这 一 优点 ,又 要 处 理 三 层 TP 数据 包 跨 子 网 通信 ， 
三 层 交 换 技术 就 诞生 了 。 

三 层 交 换 (也 称 多 层 交 换 技术 ,或 IP 交换 技术 ) 是 相对 于 传统 交换 概念 而 提出 的 。 传 统 
的 交换 技术 是 在 OSI 网 络 模型 中 的 第 二 层 一 一 数据 链 路 层 进行 操作 ,而 三 层 交 换 技 术 是 在 
网 络 模型 中 的 第 三 层 一 一 网 络 层 实现 数据 包 的 高 速 转发 。 
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7.2 交换 原理 


一 个 具有 三 层 交换 功能 的 设备 ,是 一 个 带 有 三 层 路 由 功能 的 第 二 层 交换 机 ,是 两 者 的 有 
机 结合 ,并 不 是 简单 地 把 路 由 器 设备 的 硬件 及 软件 释 加 在 局 域 网 交换 机 上 。 

三 层 交 换 工 作 在 OSI 七 层 网 络 模型 中 的 第 三 层 , 即 网 络 层 ,是 利用 第 三 层 协议 中 的 IP 
包 的 报头 信息 对 后 续 数 据 业 务 流 进行 标记 ,具有 同一 标记 的 业务 流 和 后 续 报 文 被 交换 到 第 
二 层 一 一 数据 链 路 层 , 从 而 建立 起 源 TP 地 址 和 目的 TP 地 址 之 间 的 一 条 通路 ,这 条 通路 经 过 
第 二 层 , 即 数据 链 路 层 。 有 了 这 条 通路 ,三 层 交 换 机 就 没有 必要 每 次 将 接收 到 的 数据 包 进 行 
拆 包 判 断路 由 ,而 是 直接 将 数据 包 进 行 转发 ,将 数据 流 进行 交换 。 具 体 工作 原理 如 下 。 

假设 两 个 使 用 IP 的 站 点 A、B 通 过 第 三 层 交 换 机 进行 通信 ,发 送 站 点 A 在 开始 发 送 时 ， 
把 自己 的 IP 地 址 与 接收 站 点 B 的 IP 地 址 进行 比较 ,判断 B 站 是 否 与 自己 在 同一 子 网 内 。 
车 目的 站 B 与 发 送 站 A 在 同一 子 网 内 , 则 进行 二 层 的 转发 。 若 两 个 站 点 不 在 同一 子 网 内 ， 
发 送 站 A 需要 与 目的 站 B 进行 通信 ,发 送 站 A 要 向 默认 网 关 发 送 ARP( 地 址 解析 ) 请 求 ,而 
默认 网 关 的 IP 地 址 其 实 是 三 层 交换 机 的 三 层 交 换 模块 。 当 发 送 站 A 对 默认 网 关 的 TP. 地 
址 广播 发 出 一 个 ARP 请 求 时 ,如 果 三 层 交 换 模块 在 以 前 的 通信 过 程 中 已 经 知道 B 站 的 
MAC 地 址 , 则 向 发 送 站 A 回复 了 B 的 MAC 地 址 ,否则 三 层 交 换 模块 根据 路 由 信息 向 B 站 广 
播 一 个 ARP 请 求 ,B 站 得 到 此 ARP 请 求 后 向 三 层 交 换 模块 回复 其 MAC 地 址 ,三 层 交 换 机 
模块 保存 此 地 址 并 回复 给 发 送 站 A, 同 时 将 B 站 的 MAC 地 址 发 送 到 二 层 交 换 引 擎 的 MAC 
地 址 表 中 。 从 此 以 后 ,A 向 B 发 送 的 数据 包 便 全 部 交 给 二 层 交 换 处 理 , 信 息 得 以 高 速 交换 。 
由 于 仪 在 路 由 过 程 中 才 需 要 三 层 处 理 , 绝 大 部 分 数据 都 通过 二 层 交换 转发 ,因此 三 层 交 换 机 
的 速度 很 快 ,接近 二 层 交 换 机 的 速度 。 

三 层 交 换 机 具有 部 分 路 由 功能 , 它 与 路 由 器 本 质 上 是 有 区 别 的 : 路 由 器 端口 类 型 多 , 支 
持 的 三 层 协 议 多 ,路 由 能 力 强 ,所 以 适合 大 型 网 络 之 间 的 互联 ,虽然 不 少 三 层 交 换 机 甚至 二 
层 交 换 机 都 有 异 构 网 络 的 互联 端口 ,但 一 般 大 型 网 络 的 互联 端口 不 多 ,互联 设备 的 主要 功能 
不 是 在 端口 之 间 进 行 快速 交换 ,而 是 选择 最 佳 路 径 甚至 需要 进行 负载 分 担 以 及 链 路 备份 ,最 
重要 的 是 ,还 需要 与 其 他 网 络 进行 路 由 信息 交换 ,所 有 这 些 都 是 路 由 器 能 完成 的 功能 。 


7.3 VLAN 间 通 信 简介 


两 台 计 算 机 即使 连接 在 同一 台 交 换 机 上 ,只 要 它们 所 属 的 VLAN 不 同 , 也 无 法 直接 
通信 。 本 节 讨 论 如 何在 不 同 的 VLAN 间 进 行路 由 ,使 分 属 不 同 VLAN 的 主机 能 够 互相 
通信 。 

不 同 VLAN 间 的 主机 不 能 直接 通信 的 具体 原因 如 下 。 

在 VLAN 内 的 通信 ,必须 在 数据 帧 头 中 指定 通信 目标 的 MAC 地 址 。 为 了 获取 MAC 
地 址 ,TCP/IP 下 使 用 的 是 ARP. ARP 解析 MAC 地 址 的 方法 是 通告 广播 。 也 就 是 说 ,如 
果 广 播报 文 无 法 到 达 ,那么 就 无 法 解析 MAC 地 址 ,也 就 无 法 直接 通信 。 

计算 机 分 属 不 同 的 VLAN, 也 就 意味 着 分 属 不 同 的 广播 域 ,自然 收 不 到 彼此 的 广播 报 
文 。 因 此 ,属于 不 同 VLAN 的 计算 机 之 间 无 法 直接 互相 通信 。 为 了 能 够 在 VLAN 间 通 信 ， 
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需要 利用 OSI 参 考 模型 中 的 更 高 一 层 一 一 网 络 层 的 信息 (IP 地 址 ) 进 行路 由 。 

路 由 功能 一 般 由 路 由 器 提供 ,但 我 们 也 经 常 利 用 带 有 路 由 功能 的 交换 机 一 一 三 层 交 换 
机 实现 。 

下 面 分 别 使 用 路 由 器 和 三 层 交 换 机 进行 VLAN 间 的 路 由 情况 分 析 。 


7.4 利用 路 由 器 实现 VLAN 间 通 信 


使 用 路 由 器 实现 VLAN 间 通 信 时 ,与 构建 横 跨 多 台 交换 机 的 VLAN 时 的 情况 类 似 ,会 
遇 到 “该 如 何 连 接 路 由 器 与 交换 机 ”的 问题 。 路 由 器 和 交换 机 的 接线 方式 有 两 种 。 

CD 将 路 由 器 与 交换 机 上 的 每 个 VLAN 分 别 连接 。 

© 不 论 VLAN 有 多少 个 ,路 由 器 与 交换 机 都 只 用 一 根 网 线 连接 。 

本 节 讨论 将 路 由 器 与 交换 机 上 的 每 个 VLAN 分 别 连接 实现 跨 VLAN 通信 的 情况 。 
不 论 VLAN 有 多 少 个 ,路 由 器 与 交换 机 都 只 用 一 根 网 线 连接 ,从 而 实现 不 同 VLAN 间 通 
信 的 情况 将 在 下 一 节 讨 论 。 

把 路 由 器 和 交换 机 以 VLAN 为 单位 分 别 用 网 线 进行 连接 ,具体 实现 过 程 是 将 交换 机 上 
用 于 和 路 由 器 互 连 的 每 个 端口 设 为 访问 链接 ,然后 分 别 用 网 线 与 路 由 器 上 的 独立 端口 进行 
互 连 。 如 果 交 换 机 上 有 2 个 VLAN, 那 么 就 需要 在 交换 机 上 预 留 2 个 端口 用 于 与 路 由 器 进 
行 互 连 , 并 且 路 由 器 上 同样 需要 有 2 个 端口 ,最 终 两 者 之 间 用 2 条 网 线 分 别 连 接 。 

这 样 的 方法 在 扩展 性 上 显然 是 有 问题 的 ,每 增加 一 个 新 的 VLAN ,都 需要 消耗 路 由 器 
的 一 个 端口 和 交换 机 上 的 访问 链接 ,而 且 还 需要 重新 布设 一 条 网 线 。 而 路 由 器 通常 不 会 带 
有 太 多 的 LAN 端口 。 新 建 VLAN 时 ,为 了 对 应 增加 VLAN 所 需 的 端口 ,必须 将 路 由 器 升 
级 成 带 有 多 个 LAN 端口 的 高 端 产 品 , 另 外 加 上 重新 布线 带 来 的 开销 ,最 终 导致 这 种 接线 方 
法 不 科学 。 

利用 路 由 器 实现 VLAN 间 通 信 , 网 络 拓扑 如 图 7. 1 所 示 。 交 换 机 Switch0 被 划分 为 两 
个 VLAN, 分 别 为 VLAN10 和 VLAN20, 其 中 端口 Fao/1 一 Fa0/12 属于 VLAN10, 端口 
FAO/13 一 Fa0/24 属于 VLAN20。 属 于 VLANIO 的 端口 Fa0/2 与 路 由 器 Fa0/0 相连 ,属于 
VLAN20 的 端口 Fa0/20 与 路 由 器 Fa0/1 相连 。 

不 同 VLAN 间 的 计算 机 不 能 互相 通信 , 即 PCO 和 PCI 不 可 以 互相 通信 , 若 要 实现 它 
们 之 间 的 正常 通信 ,需要 通过 配置 路 由 器 实现 。 图 7. 1 中 各 设备 的 具体 TP 地 址 规划 见 
37.1, 


表 7.1 图 7.1 中 各 设备 的 具体 IP 地 址 规划 


设 备 端口 IP 地 址 子 网 掩 码 默认 NX 
Fa0/0 192. 168. 10. 1 255. 255. 255. 0 — 
路 由 器 
Fa0/1 192. 168. 20. 1 255. 255. 255.0 = 
PCO 网 卡 192. 168. 10. 100 255. 255. 255. 0 192. 168. 10.1 
PCI 网 卡 192. 168. 20. 200 255. 255. 255. 0 192. 168. 20. 1 


首先 配置 两 台 计 算 机 的 网 络 参数 ,如 图 7. 2 和 图 7. 3 所 示 。 
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Fa0/0 2811 Fa0/1 


Router0 
Fa0/2 Fa0/20 
2960-24TT 
Switch0 
VLANIO VLAN20 
Fa0/1—Fa0/12. Fa0/13-Fa0/24 


PC-PT 
PCI 


图 7.1 将 路 由 器 与 交换 机 上 的 每 个 VLAN 分 别 连 接 网 络 拓扑 


Physical Config Desktop Software/Services 


IP Configuration 


O DHCP 
9 Static 


IP Address 192.168.10.100 


Subnet Mask 255.255.255.0 


Default Gateway 192.168.10.1 


DNS Server 


7.2 计算 机 PCO 的 网 络 参数 配置 


Physical Config Desktop Software/Services 


IP Configuration 


O DHCP 


9 Static 


IP Address 192.168.20.100 


Subnet Mask 255.255.255.0 


Default Gateway 192.168.20.1 


图 7.3 计算 机 PCI 的 网 络 参数 配置 
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其 次 对 交换 机 进行 配置 ,具体 配置 过 程 如 下 。 
Switch (config) # hostname S1 // 为 交换 机 命名 
S1(config)£ vlan 10 // 创 建 viaN10 
Sl (config- vlan)£vlan 20 // 创 建 VLAN20 


S1(config-vlan)£exit 

S1 (config)# interface range fastEthernet 0/1 - 12 
S1 (config- if- range)# switchport access vlan 10 

S1 (config- if- range) t exit 

S1 (config)# interface range fastEthernet 0/13 -24 
S1 (config- if- range) # switchport access vlan 20 
S1 (config- if- range) #exit 


接 下 来 配置 路 由 器 的 端口 参数 。 


Router (config)#hostname Rl 

R1 (config)# interface fastEthernet 0/0 
Rl(config-if)$ip address 192.168.10.1 255.255.255.0 
Rl (config- if)#no shu 

Rl (config- if)#exit 

R1 (config)# interface fastEthernet 0/1 
Rl(config-if)$ ip address 192.168.20.1 255.255.255.0 
R1(config- if)# no shu 


查看 路 由 器 的 路 由 表 。 


Rl# show ip route 


// 退 出 
// 进 入 端口 Fa0/1~ Fa0/12 

// 将 端口 Fa0/1~Fa0/12 划 入 viaN10 中 
// 退 出 
// 进 入 端口 Fa0/13~ Fa0/24 
// 将 端口 Fa0/13~ Fa0/24 划 入 VLAN20 中 
// 退 出 


// 为 路 由 器 命名 
// 进 入 路 由 器 端口 Fa0/0 

// 为 路 由 器 端口 Fa0/0 配置 IP 地 址 
// 激 活 端口 
// 退 出 
// 进 入 路 由 器 端口 Fa0/1 

// 为 路 由 器 端口 fao/1 配 置 IP 地 址 
// 激 活 端 口 


// 查 看 路 由 器 的 路 由 表 


Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 


D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 


N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 


El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 


i -IS-IS, Ll -IS- IS level-1l, L2 - IS- IS level-2, ia -IS- IS inter area 


* -candidate default, U - per- user static route, o -ODR 


P -periodic downloaded static route 


Gateway of last resort is not set 


c 192.168.10.0/24 is directly connected, FastEthernet0/0 


c 192.168.20.0/24 is directly connected, FastEthernet0/1 


RH 


最 后 测试 网 络 连通 性 。 


在 计算 机 PCO 上 通过 ping 命令 测试 与 计算 机 PCI 的 连通 性 ,测试 结果 如 图 7. 4 所 示 。 
图 7.4 中 的 TTL 值 为 127(128 一 1) ,表明 经 过 了 一 个 路 由 器 ,要 减 1。 另 外 ,从 图 7.4 中 可 
以 看 出 ,处 于 不 同 VLAN 的 两 台 计 算 机 之 间 通 过 路 由 器 可 以 互相 访问 。 

第 二 种 办 法 是 “不 论 VLAN 有 多 少 个 ,路 由 器 与 交换 机 都 只 用 一 条 网 线 连接 ”, 在 这 种 
情况 下 ,要 实现 不 同 VLAN 间 通 信 ,需要 用 到 单 臂 路 由 。 
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Physical Config Desktop Software/Services 


T- | 
f 


"m 一 
[Command Prompt 


图 7.4 测试 网 络 连 通 性 


7.5 BKH 


单 辟 路 由 (router-on-a-stick) 是 指 在 路 由 器 上 的 一 个 端口 上 通过 配置 子 端口 (或 “逻辑 
端口 "。 并 不 存在 真正 的 物理 端口 ) 的 方式 ,实现 原来 相互 隔离 的 不 同 VLAN 之 间 的 互联 
互通 。 

路 由 器 的 物理 端口 可 以 被 划分 成 多 个 多 辑 端口 ,这 些 被 划分 后 的 迎 辑 端口 被 形象 地 称 
为 子 端口 。 这 些 逮 辑 子 端口 不 能 被 单独 开启 或 关闭 , 即 当 物 理 端 口 被 开启 或 关闭 时 ,所 有 的 
该 端口 的 子 端口 也 随 之 被 开启 或 关闭 

通常 认为 ,路 由 选择 就 是 流量 来 到 一 个 物理 端口 而 离开 另 一 个 物理 端口 的 过 程 。 中 继 
可 用 于 支持 多 个 VLAN 通过 。 单 臂 路 由 器 是 具有 到 交换 机 的 单个 中 继 连 接 的 路 由 器 。 单 
臂 路 由 器 在 该 中 继 连 接 上 的 VLAN 之 间 路 由 。 如 果 不 需 中 继 , 则 需要 每 个 VLAN 连接 
单独 的 物理 端口 。 随 着 VLAN 数量 的 增加 ,对 路 由 器 的 LAN 端口 的 数量 要 求 也 相应 
增加 。 

通过 中 继 连 接 , 可 以 在 一 个 端口 上 进行 多 个 VLAN 间 的 路 由 ,也 就 是 通过 单 臂 路 由 的 
方法 解决 交换 式 网 络 中 的 路 由 选择 问题 。 

要 设置 单 臂 路 由 ,需要 将 路 由 器 的 物理 端口 划分 为 多 个 逻辑 端口 , 称 为 子 端口 。 创 建 子 
端口 是 在 输入 物理 端口 类 型 和 端口 标志 符 后 ,接着 输入 一 个 点 (. ) 和 子 端口 号 。 很 多 人 喜欢 
用 要 处 理 的 VLAN 编号 作为 子 端口 号 。 实 际 上 并 非 必须 这 样 做 。 

如 果 端 口 类 型 是 Serial, 则 必须 指定 连接 类 型 。 常 见 的 连接 类 型 有 point-to-point H F 
点 对 点 串 行 连接 ) 和 multipoint( 用 于 多 点 连接 )。 对 于 LAN 端口 ,默认 multipoint , 单 臂 路 
由 配置 时 忽略 连接 类 型 。 

如 果 创建 的 子 端 口 需 要 在 VLAN 间 进 行路 由 选择 , 则 需要 支持 中 继 端 口 。 为 单 臂 路 由 
器 设立 子 端 口 时 ,必须 配置 的 一 项 是 中 继 类 型 (ISL 或 802. 1Q) 以 及 与 子 端口 相关 联 的 


VLAN., 
使 用 Encapsulation 命令 指定 中 继 类 型 和 与 子 端 口 相 关联 的 VLAN。 一 旦 完成 这 些 操 
作 ,交换 机 将 向 路 由 器 发 送 标记 帧 。 而 通过 封装 ,路 由 器 将 明白 如 何 读 取 标 签 。 路 由 器 能 够 
知道 该 帧 来 自 哪 个 VLAN ,并 且 用 与 之 匹配 的 子 端口 来 处 理 它 。 所 有 (Cisco) 交 换 机 都 支持 
dotlq 参数 标注 的 IEEE 802. 1q。 只 有 少数 Cisco 交换 机 支持 ISL。 路 由 器 和 交换 机 
必须 使 用 相同 的 VLAN 封装 类 型 : IEEE 802. 1q 或 ISL. 

单 臂 路 由 网 络 拓扑 图 如 图 7. 5 所 示 ,具体 配置 过 程 如 下 。 


使 


上 


2811 Fa0/0 
Routerl 


VLANIO 
Fa0/1—Fa0/12 


PC-PT 
PCI 


PCI: 
IP 地 址  192.168.10.100 
"FR. 255.255.255.0 
默认 网 关 : 192.168.10.1 
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VLAN20 
Fa0/13~Fa0/23 


PC-PT 
PC2 


PC2: 
IP 地 址 : 192.168.20.100 
子 网 掩 码 255.255.255.0 
默认 网 关 : 192.168.20.1 


图 7.5 单 臂 路 由 网 络 拓扑 图 


首先 对 交换 机 进行 配置 ,在 交换 机 上 划分 VLAN ,将 交换 机 端口 Fa0/1 一 Fa0/12 划分 
到 VLAN10, 将 交换 机 端口 Fa0/13 一 Fa0/23 划分 到 VLAN20。 


Switch (config)#hostname S1 

S1(config)# vlan 10 

S1 (config- vlan) # vlan 20 

S1(config- vlan)fexit 

S1 (config)# interface range fastEthernet 0/1 -12 
S1 (config-if- range)# switchport access vlan 10 
S1(config-if- range)fexit 

S1 (config) # interface range fastEthernet 0/13 - 23 
S1 (config- if- range)# switchport access vlan 20 


S1 (config-if-range)fexit 


// 为 交换 机 命名 
// 为 交换 机 创建 VLAN10 
// 为 交换 机 创建 VLAN20 
// 退 出 
// 进 入 交换 机 端口 Fa0/1~ Fa0/12 
// 将 端口 Fa0/1- Fa0/12 划分 到 VLAN10 
// 退 出 
// 进 入 交换 机 端口 Fa0/13~ fa0/23 
// 将 端口 Fa0/13- Fa0/23 划分 到 VLAN20 
// 退 出 
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接着 对 路 由 器 进行 配置 。 

Router (config)#hostname Routerl // 为 路 由 器 命名 

Routerl (config)# interface fastEthernet 0/0 // 进 入 路 由 器 Fa0/0 口 
Routerl (config- if)# no shu // 激 活路 由 器 端口 fao/0 
Routerl(config-if)£exit // 退 出 

Routerl (config)# interface fastEthernet 0/0.10 // 进 入 路 由 器 Fa0/0 子 端口 


Routerl (config- subif)#encapsulation dotlQ 10 
// 为 这 个 端口 配置 IEEE 802.19 URL JA TÉLÉ. 10 是 子 端口 连接 的 VLAN 号 
Routerl (config- subif)# ip address 192.168.10.1 255.255.255.0 
// 为 子 端口 配置 IP 地址 
Routerl (config- subif)#exit // 退 出 
Routerl (config)# interface fastEthernet 0/0.20 // 进 入 路 由 器 Fa0/0 的 另 一 子 端口 
Routerl (config- subif)# encapsulation dotlQ 20 
// 为 这 个 端口 配置 IEEE 802.1q 协 议 ,后 面 的 20 是 子 端口 连接 的 VLAN 
Routerl (config- subif)# ip address 192.168.20.1 255.255.255.0 
// 为 子 端口 配置 IP 地 址 


将 交换 机 连接 交换 机 的 端口 Fa0/24 配置 为 trunk 模式 ,具体 配置 命令 如 下 。 


S1 (config- if)# switchport mode trunk 
$% LINEPROTO- 5- UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to down 
$ LINEPROTO- 5- UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to up 


按照 图 7. 5 所 示 配 置 终端 计算 机 PCI 和 PC2 的 网 络 参 数 。 
最 后 ,网 络 连通 性 测试 ,通过 PCI ping PC2 的 结果 如 下 。 


PC>ping 192.168.20.100 
Pinging 192.168.20.100 with 32 bytes of data: 
Request timed out. 
Reply from 192.168.20.100: bytes- 32 time- 125ms TTL- 127 
Reply from 192.168.20.100: bytes- 32 time- 54ms TTL- 127 
Reply from 192.168.20.100: bytes- 32 time- 10ms TTL- 127 
Ping statistics for 192.168.20.100: 

Packets: Sent —4, Received =3, Lost =1 (25% loss), 
Approximate round trip times in milli- seconds: 

Minimum —10ms, Maximum —125ms, Average = 63ms 
PC» 


结果 表明 ,网 络 是 连通 的 。 
7.6 利用 三 层 交 换 机 实现 VLAN 间 通 信 

1. SVI 介绍 

交换 机 虚拟 端口 (Switch Virtual Interface. SVDJÉRX & VLAN ff] IP 端口 ,一 个 SVI 只 
能 和 一 个 VLAN 相 联系 。SVI 有 两 种 类 型 : 主机 管理 端口 ,管理 员 可 以 利用 该 端口 管理 
交换 机 ; 四 网 关 端 口 . 用 于 三 层 交 换 机 跨 VLAN 间 路 由 。 具 体 可 以 用 interface vlan 端口 配 


210 


第 7 章 三 层 交 换 、VLAN 间 通信 及 DHCP CIR 


置 命令 创建 SVI, 然 后 为 其 配置 IP 地 址 即 可 实现 路 由 功能 。 一 个 交换 机 虚拟 端口 代表 一 个 
由 交换 端口 构成 的 VLAN( 其 实 就 是 通常 所 说 的 VLAN 端口 ), 以 便于 实现 系统 中 路 由 和 
桥接 的 功能 。 一 个 交换 机 虚拟 端口 对 应 一 个 VLAN, 当 需要 路 由 虚拟 局 域 网 之 间 的 流量 或 
桥接 VLAN 之 间 不 可 路 由 的 协议 ,以 及 提供 IP 主机 到 交换 机 的 连接 时 ,就 需要 为 相应 的 虚 
拟 局 域 网 配置 相应 的 交换 机 虚拟 端口 。 其 实 ,SVI 就 是 通常 所 说 的 VLAN 端口 ,只 不 过 它 
是 虚拟 的 ,用 于 连接 整个 VLAN, 所 以 通常 也 把 这 种 端口 称 为 逻辑 三 层 端口 。SVI 端口 是 
当 在 interface vlan 全 局 配置 命令 后 面 键入 具体 的 VLAN ID 时 创建 的 。 可 以 用 no 
interface vlan vlan id 全 局 配置 命令 删除 对 应 的 SVI 端口 ,只 是 不 能 删除 VLAN 1 的 SVI 
端口 (VLAN 1) ,因为 VLAN 1 端口 是 默认 已 创建 的 ,用 于 远程 交换 机 管理 。 

应 当 为 所 有 VLAN 配置 SVI 端口 ,以 便 在 VLAN 间 路 由 通信 ,也 就 是 SVI 端口 的 用 
途 是 为 VLAN 间 提 供 通 信和 路 由 。 

一 个 VLAN 仅 可 以 有 一 个 SVI。 默 认 情 况 下 ,SVI 是 为 默认 VLAN( 通 常 是 VLAN 1) 
而 创建 的 ,以 允许 进行 远程 交换 机 管理 。 其 他 的 SVI 必须 明确 配置 。 所 以 ,SVI 端口 可 以 
同时 是 该 交换 机 的 管理 端口 和 下 层 设备 的 网 关 端 口 ( 路 由 连 端口 )。 在 三 层 模式 中 ,可 以 配 
置 通过 SVI 的 路 由 。 

SVI 是 在 第 一 次 键入 VLAN 端口 配置 命令 时 创建 的 。VLAN 与 ISL 或 IEEE 802. 1q 
协议 中 封装 的 中 继 ,或 者 访问 端口 配置 的 VLAN ID 的 数据 帧 相关 联 的 VLAN 标记 对 应 。 
如 果 需 要 路 由 VLAN 间 的 通信 , 则 需要 为 每 个 VLAN 配置 一 个 VLAN 端口 (也 就 是 这 里 
所 说 的 SVD ,并 为 每 个 SVI 端口 分 配 一 个 IP 地 址 。 

SVI 具 有 自动 状态 排除 (autostate exclude) 特 征 。 带 有 多 个 端口 的 VLAN 上 的 SVI 线 
路 状态 在 SVI 端口 满足 以 下 条 件 时 呈 开 启 状态 。 

(1) VLAN 存在 ,并 且 在 交换 机 的 VLAN 数据 库 中 呈 激 活 状态 。 

(2) VLAN 端口 存在 ,并 且 是 可 管理 的 。 

(3) 在 VLAN 中 至 少 存在 一 个 二 层 端口 (访问 端口 或 中 继 端 口 ) 的 链 路 呈 开 启 状态 ,并 
且 这 个 链 路 在 VLAN 中 是 在 生成 树 转发 状态 (spanning-tree forwarding state) 中 。 

默认 情况 下 ,在 一 个 VLAN 有 多 个 端口 时 ,VLAN 中 的 所 有 端口 关闭 后 ,SVI 端口 也 
将 关闭 。 

2. 利用 三 层 交换 机 实现 VLAN 间 通 信 

图 7. 6 所 示 为 一 台 三 层 交 换 机 和 两 台 计 算 机 组 成 的 网 络 ,PC0 属于 VLAN10,IP 地 址 
为 192. 168. 1. 100 ,默认 网 关 为 192. 168. 1. 1,PC1 属于 VLAN20.IP 地 址 为 192. 168. 2. 
100 ,默认 网 关 为 192. 168. 2. 1. PCO 连接 交换 机 的 Fa0/1 口 ,PC1 连接 交换 机 的 Fa0/20 
O., PCO 和 PCI 属于 两 个 不 同 的 VLAN, 所 以 通过 二 层 交 换 是 不 可 能 互相 通信 的 ,因此 需 
要 借助 三 层 设备 一 一 路 由 器 或 三 层 交 换 机 。 前 面 已 经 分 析 了 通过 路 由 器 解决 不 同 VLAN 
间 的 通信 问题 ,现在 探讨 利用 三 层 交 换 机 解决 不 同 VLAN 间 的 通信 问题 。 

首先 配置 两 台 计算 机 的 网 络 参 数 ,图 7.7 所 示 为 PCO 网 络 的 参数 配置 ,用 同样 的 方法 
配置 PC1。 

其 次 配置 交换 机 。 划 分 两 个 VLAN ,分别 为 VLAN10 和 VLAN20, 并 且 将 相应 的 端口 
分 配 到 相应 的 VLAN 中 。 具 体 配 置 如 下 。 


Switch (config)# vlan 10 // 创 建 VLAN10 
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3560-24PS 
Multilayer Switch0 


VLANIO VLAN20 
了 地 址 192.168.1.100/24 
默认 网 关 : 192.168.1.1 
PC-PT 
PC0 


PC-PT 


也 地址 192.168.2.100/24 
认 网 关 : 192.168.2.1 


图 7.6 利用 三 层 交 换 机 实现 VLAN 间 通 信 拓 扑 图 


Physical Config Desktop 


IP Configuration 


O DHCP 
图 Static 


IP Address 192.168.1.100 


Subnet Mask 255.255.255.0 


Default Gateway 192.168.1.1 


DNS Server 


图 7.7 PCO 网 络 的 参数 配置 


Switch (config- vlan) # vlan 20 

Switch (config- vlan)# exit 

Switch (config)# interface fastEthernet 0/1 
Switch (config- if)# switchport access vlan 10 
Switch (config- if)#exit 

Switch (config)# interface fastEthernet 0/20 
Switch (config- if)# switchport access vlan 20 
Switch (config) # interface vlan 10 

Switch (config- if)# ip address 192.168.1.1 255.255.255.0 
Switch (config- if)#no sh 

Switch (config- if)#exit 

Switch (config) # interface vlan 20 


// 创 建 vLAN20 

// 退 出 

// 进 入 端口 Fa0/1 

// 将 端口 Fa0/1 划 入 VLAN10 
// 退 出 

// 进 入 端口 Fa0/20 

// 将 端口 Fa0/20 划 入 VLAN20 
// 进 入 VLAN 端口 模式 

// 配 置 TP 地址 

// 激 活 

// 退 出 

// 进 入 VLAN 端口 模式 
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Switch (config- if)# ip address 192.168.2.1 255.255.255.0 // 配 置 IP 地 址 
Switch (config- if)#no shu // 激 活 
查看 交换 机 的 路 由 表 。 


Switch# show ip route 

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll - IS- IS level-1, L2 - IS- IS level-2, ia - IS- IS inter area 
* -candidate default, U -per- user static route, o -ODR 
P -periodic downloaded static route 

Gateway of last resort is not set 

c 192.168.1.0/24 is directly connected, Vlan10 

c 192.168.2.0/24 is directly connected, Vlan20 


看 到 两 条 直 连 路 由 。 
从 PCO ping PCI 测试 网 络 连通 性 ,结果 如 下 所 示 。 
PC»ping 192.168.2.100 
Pinging 192.168.2.100 with 32 bytes of data: 
Reply from 192.168.2.100: bytes- 32 time- 7ms TTL- 127 
Reply from 192.168.2.100: bytes- 32 time- 8ms TTL- 127 
Reply from 192.168.2.100: bytes- 32 time- 11ms TTL- 127 
Reply from 192.168.2.100: bytes- 32 time- 1lms TTL- 127 
Ping statistics for 192.168.2.100: 
Packets: Sent =4, Received -4, Lost =0 (0$10ss), 
Approximate round trip times in milli- seconds: 
Minimum = 7ms, Maximum —11ms, Average = ms 
PC» 


结果 表明 网 络 是 连通 的 。 
7.7 DHCP 技术 


动态 主机 配置 协议 (Dynamic Host Configuration Protocol. DHCP) ,通常 应 用 在 大 型 
局 域 网 络 环境 中 ,主要 作用 是 集中 管理 分 配 IP 地 址 ,使 网 络 环境 中 的 主机 动态 地 获得 IP 
地 址 、 子 网 掩 码 、 网 关 地 址 .DNS 服务 器 地 址 等 信息 。DHCP 的 客户 机 无 须 手 动 输入 任何 数 
据 ,避免 了 手动 输入 值 而 引起 的 配置 错误 。 同 时 DHCP 可 以 防止 出 现 新 计算 机 重用 以 前 指 
派 的 IP 地 址 所 引起 的 冲突 问题 。 

DHCP 是 计算 机 网 络 技术 专业 重要 的 知识 点 之 一 ,该 知识 点 不 仅 出 现在 网 络 操作 系统 
课程 中 ,同时 还 出 现在 网 络 设备 配置 与 管理 课程 中 。 无 论 是 在 Windows 网 络 操作 系统 中 ， 
还 是 在 Linux 网 络 操作 系统 中 ,对 DHCP 的 讲解 一 般 都 比较 透彻 。 其 实 ,DHCP 在 网 络 设 
备 中 的 应 用 还 是 比较 广泛 的 ,特别 是 大 型 园区 网 的 组 建 。 本 节 探 讨 在 网 络 设备 中 是 如 何 实 
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现 DHCP 服务 的 ,涉及 在 同一 台 路 由 器 上 实现 不 同 部 门 不 同 网 段 的 IP 地 址 分 配 问 题 。 

为 了 充分 掌握 DHCP 技术 的 使 用 过 程 ,下 面 以 实际 项 目 进行 探讨 。 

1. 设置 网 络 拓扑 环境 

设 两 个 不 同 的 部 门 为 信息 工程 系 和 工商 管理 系 ,这 两 个 部 门 的 终端 计算 机 均 通 过 路 由 
器 R1 自动 获得 相关 网 络 参 数 。 需 要 的 网 络 设备 为 : Cisco 2811 路 由 器 两 台 、Cisco 2960 X 
换 机 两 台 终端 测试 计算 机 6 台 。 其 中 两 台 路 由 器 之 间 通 过 串口 S0/0/0 相连 ,路 由 器 RI 
的 F0/0 口 通过 交换 机 连接 信息 工程 系 的 计算 机 ,路 由 器 R2 的 F0/0 口 通 过 交换 机 连接 工 
商 管理 系 的 计算 机 。 整 个 实验 拓扑 结构 图 如 图 7.8 所 示 。 


IP: 20.1.1.0 
2811 -人 2811 
RI e R2 
IP; 10.1.1.0/24 IP; 30.1.1.0/24 
网 关 : 10.1.1.1 网 关 : 30.1.1.1 
2960-24TT 
信息 工程 系 E Switchl 
PC-PT PC-PT PC-PT PC-PT PC-PT | 
PCI PC2 PC4 PCS PC6 


图 7.8 实验 拓扑 结构 图 


两 台 路 由 器 之 间 利用 串口 相连 时 需要 在 两 台 路 由 器 上 均 添加 广域网 模块 。 具 体操 作 : 
OO 单 击 需 要 添加 模块 的 路 由 器 R1, 弹 出 如 图 7.9 所 示 的 窗口 ,之 后 关闭 RI 路 由 器 的 电源 。 
OHP H h Physical 区 选择 WIC-2T 模块 ,将 它 拖 动 到 空 的 模块 槽 中 ,然后 释放 鼠标 。@ 重 
新 打开 电源 。 使 用 同样 的 方法 ,将 路 由 器 R2 添加 到 WIC-2T 模块 。 


Physical | config | cu | 


Physical Device View 
NM-ZEZW 


NM-2FEZW [ Zoom In [ Original Size Y Zoom Out 


NM-ESW-161 
HWIC-AESW 
HWIC-AP-AG-B 
WIC-14M < E 
WIC-1ENET 
4 Customize Customize 
Icon in Icon in 
WIC-2AM a | Physical View ES Logical View | eS 


Adding Modules: Drag the module to an available =| (JE 
slot on the device. =| |V 
Removing Modules: Drag the module from the * „j 


图 7.9 开关 电源 以 及 添加 、 删 除 模块 窗口 
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2. IP 地 址 规划 


规划 信息 工程 系 的 IP 网 段 地 址 为 10. 1. 1. 0, 网 关 地 址 为 10. 1. 1. 1 ,该 网 关 地 址 也 就 是 
路 由 器 R1 的 端口 Fo/0 的 地 址 。 工 商 管理 系 的 IP 网 段 地 址 为 30. 1. 1. 0, 网 关 地 址 为 
30.1.1.1, 该 网 关 地 址 就 是 路 由 器 R2 的 端口 F0/0 的 地 址 。 两 个 路 由 器 之 间 的 网 络 地 址 为 
20. 1. 1.0, 该 地 址 通过 手工 设置 。 信 息 工 程 系 和 工商 管理 系 的 终端 计算 机 的 网 络 地 址 信息 
通过 DHCP 服务 器 自动 获得 。 


3. 命令 配置 及 解释 


CD 配置 路 由 器 R1 的 DHCP 服务 器 ,使 得 与 RI 的 端口 F0/0 直接 相连 的 信息 工程 系 
网 络 自动 获得 IP 配置 信息 。 


首先 配置 RI 路 由 器 。 


Router> en 
Router# config t 
Router (config) # hostname R1 


R1 (config) # interface fastEthernet 0/0 


R1 (config- if)# ip address 10.1.1.1 255.255.255.0 


R1 (config- if)#no shu 
Rl (config- if)#exit 


R1 (config)# ip dhcp excluded- address 10.1.1.1 
// 设 置 排除 地 址 10.1.1.1, 因 为 该 地 址 已 经 被 分 配给 路 由 器 端口 F0/0 


R1 (config)# ip dhcp pool xinxi 


R1 (dhcp- config) # default- router 10.1.1.1 
R1 (dhcp- config)$dns- server 10.1.1.254 


R1 (dhcp- config) # network 10.1.1.0 255.255.255.0 
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// 进 入 特权 模式 

// 进 入 全 局 配置 模式 

// 为 路 由 器 命名 

// 进 入 路 由 器 端口 F0/0 

// 为 路 由 器 端口 F0/0 配 置 IP 地 址 
// 激 活 端口 Fo/0 

// 退 出 


// 定 义 DHCP 地 址 池 名 称 为 xinxi 
// 设 置 默认 网 关 地 址 

// 设 置 DNS 服务 器 地 址 

// 设 置 可 分 配 的 网 络 地 址 范围 


通过 以 上 配置 ,Rl1 路 由 器 就 具有 了 DHCP 服务 器 的 功能 ,可 以 分 配 TP 地 址 。 


其 次 测试 实验 结果 。 


CD 单 击 需要 获得 IP 地 址 的 终端 计算 机 ,在 弹出 的 窗口 中 选择 Desktop. 


加 在 Desktop 窗口 中 有 两 个 选项 ,分 别 为 DHCP 和 Static. 选择 DHCP。 当 出 现 
“DHCP request successful” 信 息 时 ,说 明 已 成 功 获 得 IP 地 址 。 结 果 如 图 7.10 所 示 。 


physical | Config 


Desktop 


IP Configuration 


© static 


IP Address 
Subnet Mask 
Default Gateway 
DNS Server 


DHCP request successful. 


10.1.1.2 


255.255.255.0 


[0.1.1.1 


[10.1.1.254 


图 7.10 信息 工程 系 计算 机 成 功 获得 IP 地 址 的 窗口 
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(2) 配置 路 由 器 动态 路 由 协议 ,使 整个 网 络 互联 互通 。 


O 对 路 由 器 R1 进行 配置 。 


Rl»en 

Rl# config t 

R1 (config) # interface serial 0/0/0 
Rl(config-if)fip address 20.1.1.1 255.255.255.0 
Rl (config- if)# no shu 

R1 (config- if)#clock rate 64000 
Rl(config-if)fexit 


© 对 路 由 器 R2 进行 配置 。 


Router> en 

Router# config t 

Router (config) # hostname R2 

R2 (config)f interface serial 0/0/0 

R2 (config- if)# ip address 20.1.1.2 255.255.255.0 
R2 (config- if)#no shu 

R2(config-if)fexit 

R2 (config)f interface fastEthernet 0/0 

R2 (config- if)# ip address 30.1.1.1 255.255.255.0 
R2 (config- if)# no shu 


© 运行 动态 路 由 协议 ,使 网 络 互联 互通 。 
R1 (config)# router rip 

R1(config- router)#version 2 

R1 (config- router) # no auto- summary 
R1 (config- router) # network 10.0.0.0 
R1 (config- router) # network 20.0.0.0 
R2 (config) # router rip 

R2 (config- router) # version 2 

R2 (config- router) # no auto- summary 
R2 (config- router) # network 20.0.0.0 
R2 (config- router)$£ network 30.0.0.0 


@ 通过 查看 路 由 表 , 确 保 整 个 网 络 互 联 互 通 。 


R1£ show ip route 
10.0.0.0/24 is subnetted, 1 subnets 


// 进 入 特权 模式 

// 进 入 全 局 配置 模式 

// 进 入 路 由 器 串口 s0/0/0 

// 为 路 由 器 端口 s0/0/0 配置 IP 地 址 
// 激 活路 由 器 端口 so/0/0 

// 设 置 路 由 器 端口 s0/0/0 的 时 钟 频率 
// 退 出 


// 进 入 特权 模式 

// 进 入 全 局 配置 模式 

// 为 路 由 器 命名 

// 进 入 路 由 器 R2 的 s0/0/0 端口 
// 为 路 由 器 s0/0/0 端口 配置 ITP 地 址 
// 激 活 端口 

// 退 出 

// 进 入 路 由 器 端口 Fo/0 

// 设 置 路 由 器 端口 F0/0 的 IP 地 址 
// 激 活 端口 


// 运 行动 态 路 由 协议 RIP 

// 运 行动 态 路 由 协议 RIP 的 版 本 2 
// 取 消 自动 汇总 功能 

// 宣 告 网 络 10.0.0.0 

// 宣 告 网 络 20.0.0.0 

// 运 行动 态 路 由 协议 RIP 

// 运 行动 态 路 由 协议 RIP 的 版 本 2 
// 取 消 自动 汇总 功能 

// 宣 告 网 络 20.0.0.0 

// 宣 告 网 络 30.0.0.0 


C 10.1.1.0 is directly connected, FastEthernet0/0 


20.0.0.0/24 is subnetted, 1 subnets 


C 20.1.1.0 is directly connected, Serial0/0/0 


30.0.0.0/24 is subnetted, 1 subnets 


R 30.1.1.0 [120/1] via 20.1.1.2, 00:00:01, Serial0/0/0 


R24 show ip route 
10.0.0.0/24 is subnetted, 1 subnets 
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R 10.1.1.0 [120/1] via 20.1.1.1, 00:00:03, Serial0/0/0 
20.0.0.0/24 is subnetted, 1 subnets 
€ 20.1.1.0 is directly connected, Serial0/0/0 
30.0.0.0/24 is subnetted, 1 subnets 
c 30.1.1.0 is directly connected, FastEthernet0/0 
可 以 看 出 ,路 由 器 R1 和 R2 均 通过 动态 路 由 协议 RIP 获得 了 动态 路 由 条 目 ,可 以 确定 
整个 网 络 是 互联 互通 的 。 


G) 配置 路 由 器 R1 的 DHCP 服务 器 ,使 工商 管理 系 网 络 的 终端 计算 机 能 够 自动 获得 
网 络 配 置信 息 。 

Rl#config t // 进 入 全 局 配置 模式 

R1 (config)# ip dhcp pool gongshang // 设 置 ptcP 地 址 池 的 名 称 为 gongshang 


R1 (config)# ip dhcp excluded- address 30.1.1.1 
// 设 置 排除 地 址 30.1.1.1, 因 为 该 地 址 已 经 被 分 配给 路 由 器 端口 Fo/0 


R1 (dhcp- config)# default- router 30.1.1.1 // 设 置 默认 网 关 地 址 

Rl (dhcp- config)# dns- server 10.1.1.254 // 设 置 DNS 服务 器 的 地 址 

R1 (dhcp- config)# network 30.1.1.0 255.255.255.0 // 设 置 可 分 配 的 网 络 的 网 络 地 址 
R2# config t // 进 入 特权 模式 

R2 (config)# interface fastEthernet 0/0 // 进 入 路 由 器 R2 的 Fo/0 端口 
R2 (config- if)# ip helper- address 20.1.1.1 // 设 置 帮助 地 址 


通过 以 上 过 程 的 设置 ,路 由 器 RI 同时 具有 为 工商 管理 系 的 计算 机 分 配 IP 地 址 的 功 
能 。 具体 验证 过 程 如 下 : @ 单 击 需要 获得 IP 地 址 的 工商 管理 系 的 一 台 终端 计算 机 ,在 弹出 
的 窗口 中 选择 Desktop。@ 在 Desktop 窗口 中 有 两 个 选项 ,分 别 为 DHCP 和 Static, 选 择 
DHCP。 当 出 现 DHCP request successful 信息 时 ,说 明 已 成 功 获得 IP 地 址 。 结 果 如 图 7. 11 
所 示 。 


[Physical | config] Desktop 


IP Configuration 


© [DHCP] 


6 DHCP request successful, 
Static 


IP Address [30.1.1.2 


Subnet Mask 255.255.255.0 


Default Gateway 30.1.1.1 


DNS Server 10.1.1.254 


图 7.11 工商 管理 系 计算 机 成 功 获得 IP 地 址 的 窗口 


4. 网 络 连通 性 测试 
以 上 结果 表明 ,路 由 器 RI 已 经 成 功 成 为 DHCP 服务 器 ,可 以 同时 为 信息 管理 系 和 工商 
管理 系 两 个 不 同 部 门 不 同 网 段 的 计算 机 分 配 IP 地 址 信息 。 
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接 下 来 验证 整个 网 络 的 连通 性 ,以 信息 管理 系 的 一 台 计 算 机 ping 工商 管理 系 的 计算 机 
为 例 进行 测试 。 

EC>ping 30.1.1.2 

Pinging 30.1.1.2 with 32 bytes of data: 

Request timed out. 

Reply from 30.1.1.2: bytes-32 time- 156ms TTL- 126 

Reply from 30.1.1.2: bytes- 32 time- 112ms TTL- 126 

Reply from 30.1.1.2: bytes- 32 time- 157ms TTL- 126 

Ping statistics for 30.1.1.2: 

Packets: Sent =4, Received =3, Lost -1 (25$10ss), 

Approximate round trip times in milli- seconds: 

Minimum —112ms, Maximum —157ms, Average —141ms 

结果 表明 ,通过 路 由 器 RI 分 配 的 网 络 地 址 信息 在 整个 网 络 的 连通 性 测试 中 起 到 了 作 
用 ,分 配 的 地 址 有 效 。 


7.8 本章 小 结 


本 童 首先 介绍 了 二 层 交换 技术 和 三 层 交 换 技术 ,详细 分 析 了 三 层 交 换 的 工作 原理 ,作为 
同时 具有 三 层 功 能 的 网 络 设备 一 一 三 层 交换 机 和 路 由 器 ,本 章 深入 探讨 了 它们 的 区 别 。 

本 章 解 释 了 不 同 VLAN 间 不 能 互相 通信 的 原理 ,通过 分 别 利用 路 由 器 和 三 层 交 换 机 两 
种 类 型 的 三 层 网 络 设备 探讨 不 同 VLAN 间 通 信 过 程 。 

本 章 通过 案例 详细 讲解 了 利用 路 由 器 实现 VLAN 间 通 信 的 配置 过 程 ,以 及 利用 路 由 器 
的 单 臂 路 由 功能 实现 不 同 VLAN 间 通 信 的 配置 过 程 。 

本 章 还 详细 讲解 了 利用 三 层 交 换 机 实现 不 同 VLAN 间 通 信 的 配置 过 程 。 通 过 本 章 的 
学 习 , 能 够 掌握 不 同 VLAN 间 通 信 的 多 种 实现 方式 。 

本 章 最 后 讲解 了 DHCP 服务 及 配置 过 程 。 


7.9 习题 


简 答 题 

1. 简 述 二 层 交 换 的 工作 原理 。 

2. 简 述 三 层 交 换 的 工作 原理 。 

3. 简 述 不 同 VLAN 间 不 能 通信 的 原理 。 

4. 简 述 路 由 器 和 三 层 交 换 机 的 区 别 。 

操作 题 

1. 配置 路 由 器 ,实现 不 同 VLAN 间 通 信 。 

2. 配置 路 由 器 ,利用 单 臂 路 由 实现 不 同 VLAN 间 通 信 。 
3. 配置 三 层 交 换 机 ,实现 不 同 VLAN 间 通 信 。 

4. 试 述 路 由 器 DHCP 的 配置 过 程 。 
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本 章 学 习 目 标 

。 掌握 访问 控制 列表 (ACL) 的 基本 概念 
。 掌握 访问 控制 列表 的 分 类 

。 掌握 访问 控制 列表 的 工作 原理 

。 掌握 标准 编号 访问 控制 列表 的 配置 过 程 
。 掌握 扩展 编号 访问 控制 列表 的 配置 过 程 
。 掌握 命名 访问 控制 列表 的 配置 过 程 

。 掌握 交换 机 端口 的 安全 配置 过 程 


本 章 首先 介绍 访问 控制 列表 的 基本 概念 ,讲解 访问 控制 列表 的 分 类 及 其 工作 原理 ,接着 
详细 探讨 标准 编号 访问 控制 列表 的 配置 过 程 , 以 及 扩展 编号 访问 控制 列表 的 配置 过 程 , 详 细 
讲解 命名 访问 控制 列表 的 配置 过 程 , 最 后 讲解 交换 机 端口 的 安全 配置 过 程 。 


8.1 ACL 概述 


前 面 讲解 了 路 由 选择 协议 及 其 基本 配置 。 一 般 情况 下 ,一 旦 设置 好 路 由 选择 协议 ,路 由 
器 将 允许 任何 分 组 从 一 个 端口 传送 到 另 一 个 端口 。 在 实际 的 工程 项 目 中 ,出 于 安全 考虑 , 需 
要 实施 一 些 策略 限制 流量 的 传送 。 访 问 控制 列表 (Access Control Lists,ACL) 可 以 控制 流 
量 从 一 个 端口 传送 到 另 一 个 端口 。 通 过 指令 列表 告诉 网 络 设备 哪些 数据 包 可 以 接收 ,哪些 

访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 , 它 的 主要 任务 是 保证 网 络 资源 不 被 非法 
使 用 和 访问 ,是 保证 网 络 安全 最 重要 的 核心 策略 之 一 。 访 问 控制 列表 是 应 用 在 路 由 器 端口 
的 指令 列表 。 这 些 指令 列表 告诉 路 由 器 哪些 数据 包 可 以 收 ,哪些 数据 包 需 要 拒绝 。 至 于 数据 
包 是 被 接收 ,还 是 被 拒绝 ,可 以 由 类 似 于 源 地 址 .目的 地 址 、 端 口号 等 的 特定 指示 条 件 决定 。 

访问 控制 列表 不 但 可 以 起 到 控制 网 络 流量 、 流 向 的 作用 ,而 且 在 很 大 程度 上 起 到 保护 网 
络 设备 、 服 务 器 的 关键 作用 。 作 为 外 网 进入 企业 内 网 的 第 一 道 关 卡 , 路 由 器 上 的 访问 控制 列 
表 成 为 保护 内 网 安全 的 有 效 手段 。 此 外 ,在 路 由 器 的 许多 其 他 配置 任务 中 都 需要 使 用 访问 
控制 列表 ,如 网 络 地 址 转换 (NAT)、 路 由 重 分 布 等 。 

ACL 基本 上 是 一 个 命令 集 , 通 过 编号 或 名 称 组 织 在 一 起 ,用 来 过 滤 进 入 或 离开 端口 的 流 
E. ACL 命令 明确 定义 了 允许 哪些 流量 以 及 拒绝 哪些 流量 。ACL 在 全 局 配置 模式 下 创建 。 

一 旦 创建 了 ACL 语句 组 ,还 需要 对 它们 进行 应 用 。 要 在 端口 之 间 过 滤 流 量 ,必须 在 端 
口 配 置 模式 中 应 用 该 ACL。 在 端口 中 应 用 ACL 时 ,还 需要 指明 是 在 人 站 方向 ,还 是 出 站 方 
向 过 滤 流 量 ,分 别 为 In A Out, HP In 表示 入 站 ,流量 从 外 进入 端口 。Out 表示 出 站 ,在 流 
量 流 出 端口 之 前 。 
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8.2 ACL 分 类 


ACL 从 两 个 不 同 的 角度 分 为 两 种 类 型 : 编号 ACL 和 命名 ACL 或 者 标准 ACL 和 扩 
展 ACL。 

编号 ACL 和 命名 ACL 定义 了 路 由 器 将 如 何 应 用 ACL, 可 以 将 其 当 作 索 引 值 看 待 。 编 
号 ACL 是 在 所 有 ACL 中 分 配 一 个 唯一 的 号 码 ,而 命名 ACL 是 在 所 有 ACL 中 分 配 一 个 唯 
一 的 名 称 。 然 后 路 由 器 使 用 它们 过 滤 流 量 。 

标准 IP 访问 控制 列表 匹配 IP 包 中 的 源 地址 或 源 地 址 中 的 一 部 分 ,可 对 匹配 的 包 采 取 
拒绝 或 允许 两 个 操作 。 编 号 范围 为 1 一 99 的 访问 控制 列表 是 标准 IP 访问 控制 列表 。 

扩展 IP 访问 控制 列表 比 标准 IP 访问 控制 列表 具有 更 多 的 匹配 项 ,包括 协议 类 型 、 源 地 
址 .目的 地 址 、 源 端口 .目的 端口 等 。 编 号 范围 为 100 一 199 的 访问 控制 列表 是 扩展 IP 访问 
控制 列表 。 标 准 ACL 和 扩展 ACL 的 比较 见 表 8. 1 。 


表 8.1 标准 ACL 和 扩展 ACL 的 比较 


可 过 滤 的 信息 标准 IP ACL 扩展 IP ACL 
源 地 址 是 是 
目的 地 址 否 是 
IP(TCP 或 UDP) 否 是 
协议 信息 (如 端口 号 ) "8 是 


8.3 ACL 处 理 过 程 


ACL 本 质 上 是 定义 的 一 组 规则 ,分 组 在 具体 端口 进行 规则 匹配 时 自 上 而 下 进行 ,分 组 
首先 和 ACL 中 的 第 一 条 规则 进行 匹配 ,如果 匹 配 成 功 ,路 由 器 将 执行 语句 中 包含 的 两 个 动 
作 中 的 一 个 : 允许 或 拒绝 。 

如 果 第 一 条 语句 不 匹配 ,路 由 器 将 匹配 列表 中 的 下 一 条 语句 ,再 次 重复 相同 的 匹配 过 
程 。 如 果 第 二 条 语句 匹配 ,路 由 器 将 执行 其 中 的 一 个 动作 。 如 果 此 语句 还 不 匹配 ,将 继续 查 
询 其 余 的 列表 ,直到 找到 匹配 项 。 如 果 整 个 访问 控制 列表 都 没有 在 ACL 语句 中 找到 匹配 
项 ,路 由 器 将 丢失 该 分 组 。ACL 自 上 而 下 处 理 过 程 有 以 下 几 个 要 点 。 

(1) 一 旦 找到 匹配 项 ,列表 中 的 后 续 语句 就 不 再 处 理 。 

(2) 语句 之 间 的 排列 顺序 很 重要 ,因为 第 一 次 匹配 后 , 剩 下 的 语句 就 不 再 处 理 。 

(3) 如 果 列 表 中 没有 匹配 项 ,将 丢弃 分 组 。 

充分 认识 ACL 还 需要 清楚 以 下 3 个 知识 点 。 

1. 语句 排序 

一 旦 某 条 语句 匹配 ,后 续 语 句 就 不 再 处 理 。 因 此 ,ACL 中 语句 的 顺序 非常 重要 。 假 设 
有 两 条 语句 ,一 条 拒绝 一 台 主 机 ,而 另 一 条 允许 同一 台 主 机 ,不 管 哪 一 条 ,只 要 先 在 列表 中 出 
现 , 就 先 被 执行 ,而 另外 一 条 被 忽略 。 因 此 ,通常 总 是 把 最 详尽 的 ACL 语句 放 在 列表 顶部 ， 
把 最 不 详尽 的 ACL 语句 放 在 列表 底部 。 
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下 面 举例 说 明 访问 控制 列表 匹配 规则 的 过 程 。 有 如 下 两 条 规则 。 

(1) 允许 来 自 子 网 172. 16. 0. 0/16 的 流量 。 

(2) 拒绝 来 自主 机 172. 16. 1. 1/32 的 流量 。 

路 由 器 是 通过 自 上 而 下 的 顺序 进行 匹配 的 ,假设 路 由 器 收 到 一 个 源 IP 地 址 是 172. 16. 
1.1 的 分 组 。 根 据 匹配 规则 ,首先 和 第 一 条 规则 进行 匹配 ,由 于 172. 16. 1. 1 属于 网 络 172. 
16.0.0, 所 以 匹配 成 功 。 最 终 允 许 分 组 通过 。 由 于 分 组 和 第 一 条 语句 已 经 匹配 成 功 , 所 以 第 
二 条 语句 不 会 被 处 理 。 

如 果 将 ACL 中 的 两 条 语句 颠倒 顺序 ,具体 如 下 。 

(1) 拒绝 来 自主 机 172. 16. 1. 1 的 流量 。 

(2) 允许 来 自 子 网 172. 16. 0. 0/16 的 流量 。 

同样 ,如 果 主 机 172. 16. 1. 1 向 路 由 器 发 送 分 组 ,分 析 分 组 匹配 情况 如 下 : 首先 将 分 组 
和 第 一 条 ACL 语句 进行 匹配 。 由 于 源 地 址 172. 16. 1. 1 和 第 一 条 规则 匹配 ,所 以 路 由 器 将 
丢弃 此 分 组 并 停止 处 理 ACL 中 的 语句 。 如 果 另 外 一 台 IP 地 址 为 172. 16. 1. 2 的 主机 发 送 
流量 到 路 由 器 , 则 路 由 器 匹配 过 程 如 下 : 首先 和 第 一 条 ACL 语句 进行 匹配 ,由 于 第 一 条 
ACL 语句 是 对 主机 IP 地 址 172. 16. 1. 1 进行 匹配 ,而 发 送 流量 主机 的 IP 地 址 为 192. 168. 
1.2, 两 者 不 相符 ,所 以 匹配 不 成 功 。 接 下 来 匹配 ACL 访问 控制 列表 中 的 第 二 条 语句 ,由 于 
主机 172. 16.1. 2 属于 子 网 172. 16. 0.0, 所 以 匹配 成 功 。 结 果 是 路 由 器 允许 来 自主 机 172. 
16. 1. 2 的 分 组 通过 。 

由 此 可 见 ,ACL 中 规则 语句 的 顺序 很 重要 ,不同 的 顺序 将 影响 匹配 的 结果 ,从 而 影响 多 
许 或 拒绝 流量 的 情况 。 

2. 隐 含 拒绝 

每 个 访问 控制 列表 中 ,在 定义 的 规则 列表 的 最 后 都 有 一 条 隐 含 的 deny 语句 。 该 语句 隐 
含 阻止 所 有 流量 ,以 防 不 受 欢迎 的 流量 意外 进入 网 络 。 在 ACL 中 看 不 到 这 条 语句 , 它 是 默 
认 存 在 的 。 

ACL 执行 的 操作 是 允许 或 拒绝 ,语句 自 上 而 下 执行 , 若 对 于 已 有 的 语句 都 不 能 匹配 成 
功 , 则 按照 末尾 隐 含 拒绝 进行 处 理 。 因 此 ,一 个 ACL 语句 列表 至 少 应 该 有 一 条 permit 语 
句 ,和 否则 所 有 流量 都 将 丢弃 ,该 列表 也 就 显得 毫 无 意义 了 。 

3. 规则 必须 应 用 才能 生效 

在 创建 访问 控制 列表 之 后 ,必须 将 其 应 用 到 某 个 端口 才 开始 生效 。ACL 控制 的 对 象 是 
进出 端口 的 流量 。 


8.4 ACL 基本 配置 


ACL 基本 配置 包括 定义 规则 和 应 用 规则 两 个 步骤 。 另 外 ,ACL 配置 分 为 编号 ACL 和 
命名 ACL ,或 标准 ACL 和 扩展 ACL, 


8.4.1 定义 规则 
要 创建 ACL ,首先 要 定义 规则 。 编 号 ACL 的 定义 规则 命令 如 下 。 


Router(config)faccess-list ACL #  permit|deny conditions 
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ACL £y ACL 编号 ,编号 的 选择 不 是 随意 的 。ACL 的 类 型 及 编号 见 表 8. 2 。 
表 8.2 ACL 的 类 型 及 编号 


ACL 类 型 ACL 编号 
标准 1~99,1300~1999 
扩展 100~199,2000~2699 


CD 地 址 匹配 : 通配符 掩 码 。 

在 ACL 语句 中 处 理 TP 地 址 时 ,可 以 使 用 通配符 掩 码 匹 配 地 址 范围 ,而 不 必 手 动 输入 每 
一 个 想 要 匹配 的 地 址 。 

通配符 掩 码 不 是 子 网 掩 码 ,更 像 一 个 翻转 的 子 网 掩 码 ,俗称 反 掩 码 。 如 想 匹 配 一 个 子 网 
或 网 络 中 的 任意 地 址 ,需要 提取 子 网 掩 码 。 在 子 网 掩 码 中 ,把 比特 的 值 进行 翻转 (“1” 变 为 
“0”,“0” 变 为 ”1”) ,就 可 以 得 到 对 应 的 通配符 掩 码 , 子 网 掩 码 255. 255. 0. 0 的 通配符 掩 码 为 
0.0.255.255。 子 网 掩 码 255. 255. 240. 0 对 应 的 通配符 掩 码 的 计算 过 程 如 下 : 首先 子 网 掩 
fi 255. 255. 240. 0 的 二 进 制 形 式 为 11111111. 11111111. 11110000. 00000000 ,将 比特 值 进 
行 翻转 ,结果 为 00000000. 00000000. 00001111. 11111111 ,用 十 进 制 数 表示 为 0. 0. 15. 255 。 
得 到 的 规律 是 : 子 网 掩 码 中 用 点 分 开 的 每 一 位 数 ,都 用 255 去 减 它 , 每 一 部 分 得 到 的 数组 合 
在 一 起 就 是 通配符 掩 码 。 如 子 网 掩 码 为 255. 255. 240. 0, 对 应 的 通配符 掩 码 计算 过 程 如 下 : 
255 一 255 一 0,255 一 255 一 0,255 一 240 王 15,255 一 0 一 255, 所 以 子 网 掩 码 255. 255. 240. 0 的 
通配符 拖 码 为 0. 0. 15. 255 。 

(2) 特殊 通配符 掩 码 。 

有 两 个 特殊 通配符 掩 码 , 分 别 为 0.0.0.0 以 及 255.255.255.255。 通 配 符 掩 码 0.0.0.0 
表示 ACL 语句 中 IP 地 址 的 所 有 32 位 比特 必须 和 IP 分 组 中 的 地 址 匹配 才能 执行 该 语句 的 
动作 。0.0.0.0 通配符 掩 码 称 为 主机 掩 码 。 

通配符 掩 码 255. 255. 255. 255 告诉 路 由 器 和 子 网 掩 码 0. 0. 0. 0 完全 相反 。 这 个 掩 码 中 
所 有 比特 位 的 值 都 是 1, 它 与 任何 地 址 都 匹配 。 通 常 将 这 种 用 法 写 为 IP 地 址 0.0.0.0, 通 配 
符 掩 码 255. 255. 255. 255。 如 果 这 样 ,就 可 以 把 此 地 址 和 通配符 掩 码 转换 为 关键 字 any, Sc 
际 上 ,对 于 此 通配符 掩 码 ,输入 什么 样 的 IP 地 址 已 经 不 重要 了 。 如 输入 192.168.1.1 255. 
255. 255. 255 ,仍然 可 以 匹配 任何 IP 地 址 。 注 意 ,是 通配符 掩 码 来 确定 IP 地 址 中 的 哪些 比 
特 是 感 兴趣 的 ,并 且 应 该 匹配 的 。 

(3) 通配符 掩 码 实 例 见 表 8. 3。 


表 8.3 通配符 掩 码 实例 


IP 地 址 通配符 掩 码 匹配 内 容 
0.0.0.0 255. 255. 255. 255 | 匹配 任何 地 址 (ACL 关键 字 中 的 any) 
172. 16.1.1 | 0.0.0.0 仅 匹配 地 址 172. 16. 1. 1( 前 置 关键 字 host) 
172.16.1.0 | 0.0.0.255 匹配 网 络 172. 16. 1. 0/24 中 的 分 组 (172. 16. 1. 0 一 172. 16. 1. 255) 
172.16.2.0 | 0.0.1.255 匹配 网 络 172.16. 2. 0/23 中 的 分 组 (172. 16. 2. 0 一 172. 16. 3. 255) 
172.16.0.0 | 0. 0. 255. 255 匹配 网 络 172. 16. 0. 0/16 中 的 分 组 (172. 16. 0. 0 一 172. 16. 255. 255) 
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8.4.2 应 用 规则 


规则 创建 好 之 后 ,如 果 不 把 规则 应 用 到 某 个 端口 , 则 该 规则 将 不 起 任何 作用 。 在 端口 中 
启动 ACL 的 命令 如 下 。 


Router (config)# interface type [slot 4] port # 
Router (config- if)# ip access-group ACL fin | out 


在 IP access-group 命令 的 末尾 ,必须 指定 应 用 规则 的 方向 。 


8.5 各 类 ACL 配置 过 程 


具体 ACL 配置 时 通常 将 其 分 为 3 种 配置 类 型 ,分别 为 标准 编号 ACL .扩展 编号 ACL 
以 及 命名 ACL( 命 名 ACL 见 8.7 W). 


8.5.1 标准 编号 ACL 


标准 编号 ACL 简单 而 且 易 于 配置 。 标 准 编号 ACL 仅 针对 TP 分 组 中 的 源 IP 地 址 部 分 
进行 过 滤 。 具 体 命 令 如 下 。 

Router (config)# access- list 1- 99(1300- 1999) permit|deny source IP address [wildcard mask] 

[log] 

对 于 标准 编号 ACL, 可 以 使 用 1 一 99 和 1300 一 1999 作为 列表 的 编号 , 紧 随 其 后 的 是 条 
件 匹 配 时 路 由 器 采取 的 操作 。 此 条 件 只 是 基于 源 IP 地 址 。 然 后 输入 的 是 一 个 可 选 的 通 配 
符 掩 码 。 如 果 省 略 通配符 掩 码 , 则 默认 为 0. 0. 0. 0 一 一 这 样 需要 完全 匹配 ,才能 执行 相应 的 

(1) 第 一 个 实例 。 


Router (config)faccess- list 1 permit 192.168.1.1 

Router (config)faccess- list 1 deny 192.168.1.2 

Router (config)# access- list 1 permit 192.168.1.0 0.0.0.255 

Router (config)$*access- list 1 deny any 

Router (config)# interface serial 0 

Router (config- if)f ip access- group 1 in 

该 例 中 ,第 一 条 语句 为 执行 permit 操作 , 源 地 址 必须 是 192. 168. 1. 1, 如 果 不 匹 配 这 一 
条 , 则 继续 处 理 第 二 条 语句 。 注 意 , 如 果 忽 略 标准 访问 控制 列表 中 的 通配符 掩 码 , 则 默认 为 
0. 0. 0. 0 一 一 表示 完全 匹配 访问 控制 列表 中 的 相应 地 址 。 第 二 条 执行 deny 操作 , 源 地 址 必 
须 是 192. 168. 1. 2, 如 果 这 一 条 也 不 匹配 , 则 继续 处 理 第 3 条 语句 。 第 三 条 执行 permit 操 
作 。 源 网 段 为 192. 168. 1.0 255. 255. 255. 0, 即 源 地 址 必须 介 于 192. 168. 1. 0 和 192. 168. 
1.255 之 间 ,和 否则 继续 处 理 第 4 条 语句 。 第 4 条 语句 实际 上 是 不 需要 的 , 它 丢 弃 所 有 分 组 。 
这 条 语句 不 需要 ,是 因为 在 每 个 ACL 的 末尾 总 有 一 条 不 可 见 的 隐 含 拒绝 所 有 分 组 的 语句 。 
最 后 两 条 命令 是 应 用 规则 ,是 在 流量 流入 端口 Serial 0 时 对 规则 进行 匹配 。 

可 以 将 上 述 规则 写成 如 下 语句 。 
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Router (config)faccess-list 1 deny 192.168.1.2 
Router (config)faccess-list 1 permit 192.168.1.0 0.0.0.255 
Router (config) # interface serial 0 


Router (config-if)fip access- group 1 in 


由 于 原 规则 列表 中 的 第 3 条 已 经 包含 了 第 1 条 中 的 内 容 , 原 规则 列表 中 的 第 4 条 默认 
就 存在 了 ,因此 不 需要 另外 再 写 这 条 规则 。 
下 面 是 另 一 个 标准 ACL 的 实例 。 


Router (config)#access- list 2 deny 192.168.1.0 

Router (config)taccess- list 2 deny 172.6.0.0 

Router (config)#access- list 2 permit 192.168.1.1 

Router (config)faccess- list 2 permit 0.0.0.0 255.255.255.255 
Router (config)# interface fastEthernet 0/0 

Router (config- if)# ip access- group 2 out 


Router (config-if)$ 


仔细 分 析 该 访问 控制 列表 实例 是 有 问题 的 ,第 一 条 语句 看 上 去 是 拒绝 来 自 192. 168. 1. 
0/24 的 流量 。 实 际 上 它 什么 都 实现 不 了 ,原因 是 它 省 略 了 通配符 掩 码 , 则 默认 为 0. 0. 0. 
0 一 一 完全 匹配 的 掩 码 。 因 为 192. 168. 1. 0 是 网 络 号 ,不 是 主机 地 址 。 任 何 分 组 的 原 地 址 都 
不 会 是 这 个 网 络 号 。 第 二 条 语句 出 现 相同 的 问题 。 

修改 后 如 下 。 


Router (config)# access- list 2 deny 192.168.1.0 0.0.0.255 
Router (config)# access- list 2 deny 172.16.0.0 0.0.255.255 
Router (config)faccess- list 2 permit 192.168.1.1 

Router (config)faccess- list 2 permit 0.0.0.0 255.255.255.255 
Router (config)# interface fastEthernet 0/0 


Router (config- if)# ip access- group 1 out 

该 例 中 ,第 一 条 语句 指明 来 自 网 络 192. 168. 1. 0/24 源 地 址 的 任何 分 组 应 该 丢弃 。 第 二 
条 语句 将 丢弃 所 有 来 自己 类 网 络 172. 16. 0. 0/16 的 流量 。 第 三 条 语句 允许 来 自 192. 168. 
1.1 的 流量 。 第 四 条 语句 允许 来 自任 何 地 方 的 流量 。 这 个 配置 仍然 有 问题 。 第 三 条 语句 不 
可 能 被 执行 ,较为 明确 的 条 目 需要 放置 在 不 明确 的 条 目 之 前 。 另 外 ,第 四 条 地 址 可 以 写成 
any。 修 改 后 的 配置 如 下 。 


Router (config)# access- list 2 permit 192.168.1.1 

Router (config)# access- list 2 permit 192.168.1.0 0.0.0.255 
Router (config)# access- list 2 deny 172.16.0.0 0.0.255.255 
Router (config) # access- list 2 permit any 

Router (config)# interface fastEthernet 0/0 


Router (config- if)# ip access- group 2 out 


(2) 限制 对 路 由 器 的 V TY 访问 。 
标准 编号 ACL 除了 对 流出 端口 的 流量 进行 控制 外 ,还 可 以 利用 它 限 制 对 路 由 器 的 
VTY 访问 (Telnet 和 SSH) ,可 以 达到 仅 允 许 网 络 管理 员 远 程 访问 网 络 设备 的 CLI。 
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首先 定义 规则 : 建立 一 个 有 permit 语句 列表 的 标准 ACL, permit 语句 允许 相应 网 络 管 
理 员 进 行 远 程 访问 。 其 次 应 用 规则 。 结 果 是 允许 任何 来 自 管理 员 的 流量 ,但 却 丢弃 所 有 其 
他 流量 。 将 标准 ACL 应 用 到 VTY 上 ,命令 如 下 。 


Router (config)#1ine vty 0 4 


Router (config- line)# access-class standard ACL # inlout 


注意 ,一 定 要 对 所 有 VTY 应 用 限制 ,不 然 将 留 下 后 门 ,导致 安全 问题 。 

把 ACL 应 用 到 线路 的 命令 是 access-class。 和 在 路 由 器 端口 启动 ACL 命令 不 同 。 如 
果 使 用 in 参数 ,将 限制 对 路 由 器 本 身 的 Telnet 和 ssh 访问 。 

使 用 标准 ACL 过 滤 到 路 由 器 的 Telnet 流量 举例 如 下 。 


Router (config)# access- list 10 permit 192.168.1.0 0.0.0.255 
Router (config)f line vty 0 4 


Router (config- line)faccess- class 10 in 


在 该 例 中 , 仅 允 许 来 自 192. 168. 1. 0/24 的 流量 telnet 或 SSH 到 此 路 由 器 。 由 于 规则 
列表 的 末尾 具有 隐 含 拒绝 ,因此 所 有 其 他 与 路 由 器 的 VTY 连接 将 被 拒绝 。 

(3) 配置 标准 编号 ACL。 

本 练习 的 主要 内 容 是 定义 过 滤 标 准 .配置 标准 编号 ACL 将 ACL 应 用 于 路 由 器 端口 并 
检验 和 测试 ACL 实施 。 标 准 编号 ACL 配置 网 络 拓扑 图 如 图 8. 1 所 示 ,相关 IP 地 址 配置 情 
况 见 表 8.4 所 示 。 

192.168.1.0/24 192.168.8.0/24 
学 生 财务 


Switch0 
192.168.4.0/30 
Fa0/0 5 


Fa0/1 S0/0/0 


192.168.3.0/24 
ü 


2960-24TT 2960-24TT 
Switchl Switch3 


图 8.1 标准 编号 ACL 配置 网 络 拓扑 图 


表 8.4 IP 地 址 配置 情况 


设 备 端 口 IP 地 hE T Wd 
S0/0/0 192.168.4.1 255. 255. 255. 252 

R1 Fa0/0 192.168.1.1 255.255.255.0 

Fa0/1 192.168.2.1 255. 255. 255.0 
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续 表 

设 备 端 口 HE hE 子 网 掩 码 

S0/0/0 192.168.4.2 255. 255. 255. 252 
R2 Fa0/0 192.168.8.1 255. 255. 255. 0 
Fa0/1 192.168.3.1 255.255. 255.0 
PC1 网 卡 192. 168. 1. 100 255. 255. 255.0 
PC2 网 卡 192. 168. 2. 100 255. 255. 255. 0 
PC3 网 卡 192. 168. 8. 100 255.255. 255.0 
PC4 网 卡 192. 168. 3. 100 255.255. 255.0 


如 图 8. 1 rz ,利用 访问 控制 列表 可 实现 如 下 要 求 : 不 允许 学 生机 访问 财务 计算 机 。 
@ 允 许 其 他 部 门 的 计算 机 都 可 以 访问 财务 。 具 体 实现 过 程 如 下 。 

首先 配置 网 络 设备 ,保证 网 络 互 联 互通 。 

路 由 器 R1 的 基本 配置 如 下 。 


Router (config)#hostname Rl // 为 路 由 器 命名 
R1 (config)# interface fastEthernet 0/0 // 进 入 路 由 器 Fao/0 端口 
R1 (config- if)# ip address 192.168.1.1 255.255.255.0 // 配 置 ITP 地 址 

Rl (config- if)# no shu // 激 活 端口 
Rl(config-if)fexit // 退 出 

R1 (config)# interface fastEthernet 0/1 // 进 入 端口 Fa0/1 
R1 (config- if)# ip address 192.168.2.1 255.255.255.0 // E ITP 地 址 

R1 (config- if)# no shu // 激 活 
Rl(config-if)fexit // 退 出 

R1 (config)# interface serial 0/0/0 // 进 入 端口 S0/0/0 
R1 (config- if)# ip address 192.168.4.1 255.255.255.0 // 配 置 ITP 地 址 

R1 (config- if)# no shu // 激 活 

R1 (config- if)# clock rate 64000 // 配 置 时 钟 频率 
路 由 器 R2 基本 配置 如 下 : 

Router (config)#hostname R2 // 为 路 由 器 命名 
R2 (config)# interface fastEthernet 0/0 // 进 入 端口 Fa0/0 
R2 (config- if)#ip address 192.168.8.1 255.255.255.0 // 配 置 IP 地 直 

R2 (config- if)# no shu // 激 活 

R2 (config-if)fexit // 退 出 

R2 (config)# interface fastEthernet 0/1 // 进 入 端口 Fa0/1 
R2 (config- if)# ip address 192.168.3.1 255.255.255.0 // 配 置 IP 地 二 

R2 (config- if)# no shu // 激 活 

R2 (config-if)fexit // 退 出 

R2 (config)# interface serial 0/0/0 // 进 入 端口 s0/0/0 
R2 (config- if)#ip address 192.168.4.2 255.255.255.252 // 配 置 IP Hh f 

R2 (config- if)#no shu nu 
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利用 静态 路 由 或 者 动态 路 由 协议 使 网 络 互 联 互通 。 


路 由 器 R1 配置 静态 路 由 如 下 。 

R1 (config)# ip route 192.168.8.0 255.255.255.0 192.168.4.2 // 配 置 静态 路 由 
R1 (config)# ip route 192.168.3.0 255.255.255.0 192.168.4.2 // 配 置 静态 路 由 
R1 (config) # 

路 由 器 R2 配置 静态 路 由 如 下 。 

R2 (config)# ip route 192.168.1.0 255.255.255.0 192.168.4.1 // 配 置 静态 路 由 
R2 (config)# ip route 192.168.2.0 255.255.255.0 192.168.4.1 // 配 置 静态 路 由 


R2 (config)# 


为 终端 计算 机 配置 网 络 参数 ,具体 参数 见 表 8.4。PC1 参数 配置 如 图 8. 2 所 示 , 同 样 配 
ji PC2,PC3 以 及 PC4。 


Physical Config Desktop 


IP Configuration 


O DHCP 
图 Static 


IP Address 192.168.1.100 


Subnet Mask 255.255.255.0 


Default Gateway 192.168.1.1 


DNS Server 


图 8. 2 ”PC1 参数 配置 


网 络 连通 性 测试 ,用 学 生机 ping 测试 财务 计算 机 ,结果 如 下 。 


PC»ping 192.168.8.100 
Pinging 192.168.8.100 with 32 bytes of data: 
Reply from 192.168.8.100: bytes- 32 time-111ms TTL-126 
Reply from 192.168.8.100: bytes-32 time- 140ms TTL- 126 
Reply from 192.168.8.100: bytes-32 time= 156ms TTL-126 
Reply from 192.168.8.100: bytes- 32 time- 141ms TTL- 126 
Ping statistics for 192.168.8.100: 

Packets: Sent —4, Received -4, Lost =0 (0$10ss), 
Approximate round trip times in milli- seconds: 


Minimum —111ms, Maximum —156ms, Average —137ms 
结果 表明 网 络 是 互联 互通 的 。 
其 次 ,分 析 标准 编号 ACL 实现 情况 。 实 验 要 求 不 允许 学 生计 算 机 访问 财务 计算 机 ,其 
他 网 络 访问 情况 正常 。 第 一 步 要 确定 在 哪 台 路 由 器 上 实现 访问 控制 列表 。 图 中 共有 两 台 路 
由 器 R1 和 R2, 目 标 主机 财务 计算 机 连接 R2 路 由 器 。 访 问 控制 列表 作用 于 靠近 目标 主机 


227 


网 络 互联 技术 与 实践 


228 


的 路 由 器 R2 较 好 ,如 果 访 问 控制 列表 作用 于 路 由 器 R1, 则 该 访问 控制 列表 将 影响 学 生机 
对 其 他 非 财务 部 门 的 访问 ,因此 得 出 结论 。 本 实例 将 访问 控制 列表 作用 于 路 由 器 R2. 


在 路 由 器 R2 上 定义 访问 控制 列表 ,具体 规则 定义 如 下 。 


R2 (config)faccess-list 1 deny 192.168.1.0 0.0.0.255 // 定 义 标准 编号 ACL 
R2 (config)# access- list 1 permit any // 定 义 标准 编号 ACL 


接 下 来 应 用 规则 ,将 规则 应 用 于 路 由 器 R2 连接 财务 计算 机 的 端口 Fa0/0 ,对 出 该 端口 


的 流量 作 规则 匹配 。 


R2 (config)# interface fastEthernet 0/0 // 进 入 端口 Fa0/0 
R2 (config- if)# ip access- group 1 out // 在 端口 Fa0/0 中 应 用 规则 


最 后 测试 访问 控制 列表 实现 的 效果 ,利用 学 生机 ping 测试 财务 计算 机 ,结果 如 下 。 


PC»ping 192.168.8.100 
Pinging 192.168.8.100 with 32 bytes of data: 
Reply from 192.168.4.2: Destination host unreachable. 
Reply from 192.168.4.2: Destination host unreachable. 
Reply from 192.168.4.2: Destination host unreachable. 
Reply from 192.168.4.2: Destination host unreachable. 
Ping statistics for 192.168.8.100: 

Packets: Sent =4, Received =0, Lost =4 (100% loss), 
PC» 


结果 表明 学 生机 不 能 ping 通 财务 计算 机 ,访问 拒绝 。 
如 果 仅 允许 校长 访问 财务 计算 机 ,其 他 部 门 计算 机 均 不 允许 访问 财务 计算 机 ,那么 具体 


访问 控制 列表 的 实现 过 程 如 下 。 


首先 确定 访问 控制 列表 规则 应 用 的 网 络 设备 ,由 于 路 由 器 R2 和 财务 计算 机 以 及 校长 


室 计算 机 直接 相连 ,所 以 访问 控制 列表 在 路 由 器 R2 上 实现 比较 好 。 


E 


其 次 定义 规则 。 

删除 刚才 定义 的 访问 控制 列表 。 

R2 (config)# no ip access- list standard 1 // 清 除 已 有 的 访问 控制 规则 
R2 (config- if)#no ip access- group 1 out // 清 除 已 有 的 访问 控制 规则 


定义 规则 ,只 允许 校长 室 计算 机 访问 财务 ,规则 定义 如 下 。 
R2 (config)faccess-list 2 permit 192.168.3.0 0.0.0.255 // 定 义 规 则 


由 于 有 一 条 默认 规则 拒绝 所 有 ,所 以 不 需要 添加 拒绝 语句 , 接 下 来 应 用 规则 ,将 该 规则 
到 路 由 器 R2 出 口 Fa0/0。 具 体 应 用 如 下 。 


R2 (config)# interface fastEthernet 0/0 // 进 入 路 由 器 端口 Fa0/0 
R2 (config- if)#ip access- group 2 out // 应 用 规则 


最 后 测试 最 终 效 果 ,测试 校长 室 计算 机 与 财务 计算 机 连通 性 情况 ,结果 如 下 。 


PC»ping 192.168.8.100 
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Pinging 192.168.8.100 with 32 bytes of data: 
Reply from 192.168.8.100: bytes-32 time-125ms TTL-127 
Reply from 192.168.8.100: bytes-32 time- 96ms TTL- 127 
Reply from 192.168.8.100: bytes-32 time-125ms TTL-127 
Reply from 192.168.8.100: bytes-32 time=110ms TTL-127 
Ping statistics for 192.168.8.100: 

Packets: Sent =4, Received =4, Lost =0 (0$10ss), 
Approximate round trip times in milli- seconds: 

Minimum —96ms, Maximum —125ms, Average =114ms 
PC 


结果 表明 网 络 是 联通 的 。 下 面 测试 教师 机 访问 财务 计算 机 的 情况 。 


PC»ping 192.168.8.100 
Pinging 192.168.8.100 with 32 bytes of data: 
Reply from 192.168.4.2: Destination host unreachable. 
Reply from 192.168.4.2: Destination host unreachable. 
Reply from 192.168.4 
Reply from 192.168.4.2: Destination host unreachable. 
Ping statistics for 192.168.8.100: 

Packets: Sent =4, Received =0, Lost =4 (100% loss), 


: Destination host unreachable. 


PC» 

结果 表明 访问 是 拒绝 的 ,这 和 实际 要 求 相 符 。 

限制 对 路 由 器 的 VTY 访问 举例 。 

如 图 8. 3 所 示 ,路 由 器 R1 连接 PCI 和 PC2,PC1、PC2 以 及 路 由 器 RI 两 个 端口 的 IP 
地 址 配置 如 图 8. 3 所 示 ,要 求 只 允许 计算 机 PC1 通过 Telnet 或 SSH 登录 路 由 器 R1, 不 允 
许 其 他 计算 机 登录 。 上 有 具体 配置 如 下 。 


Fa0/0 -— Fa0/1 


al 
^ 2811% 
192.168.1.1, “Ri x 192.168.2.1 


d \ 
^Á N 
d * 
d * 
d * 
i * 
^J * 
n * 

g B 
PC-PT PC-PT 
PCI PC2 

192.168.1.100/24 192.168.2.100/24 


8.3 限制 对 路 由 器 VTY 访问 网 络 拓扑 图 


首先 为 网 络 配置 相关 参数 。 

Router (config)#hostname R1 // 为 路 由 器 命名 
Rl (config)# interface fastEthernet 0/0 // 进 入 端口 Fa0/0 
Rl (config- if)#ip address 192.168.1.1 255.255.255.0 // 配 置 TP 地址 
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Rl (config- if)# no shu nu 

Rl (config-if)fexit // 退 出 

Rl (config)# interface fastEthernet 0/1 // 进 入 端口 Fa0/1 
R1 (config- if)#ip address 192.168.2.1 255.255.255.0 // 配 置 ITP 地 址 
Rl (config- if)# no shu // 激 活 


定义 访问 控制 列表 ,只 允许 主机 192. 168. 1. 100 远程 访问 Telnet 或 者 SSH 访问 路 由 
器 RI. 


Rl(config)faccess-list 1 permit 192.168.1.100 0.0.0.0 // 定 义 访问 控制 规则 
其 次 应 用 规则 。 


R1 (config)#1ine vty 0 4 
Rl (config- line)#access- class 1 in // 应 用 规则 


由 于 需要 对 路 由 器 进行 远程 访问 ,所 以 需要 为 路 由 器 设置 远程 访问 密码 。 


Rl (config)fline vty 0 4 
R1 (config- line) password 123 


最 后 验证 效果 。 
通过 主机 192. 168. 1. 100 远程 登录 路 由 器 情况 如 下 。 


PC> telnet 192.168.1.1 

Trying 192.168.1.1 ...Open 

[Connection to 192.168.1.1 closed by foreign host] 
PC> telnet 192.168.1.1 

Trying 192.168.1.1 ...Open 

User Access Verification 

Password: 


Router» 


结果 表明 登录 成 功 。 
利用 主机 192. 168. 2. 100 远程 登录 路 由 器 情况 如 下 。 


Packet Tracer PC Command Line 1.0 
PC> telnet 192.168.1.1 

Trying 192.168.1.1 ... 

$ Connection refused by remote host 
PC> telnet 192.168.2.1 

Trying 192.168.2.1 ... 

$ Connection refused by remote host 


结果 表明 不 允许 登录 ,与 实际 结果 相符 。 
8.5.2 扩展 编号 ACL 


扩展 编号 ACL 提供 更 广泛 的 控制 范围 ,可 以 匹配 的 信息 如 下 。 
。， 源 全 地 址 和 目的 IP 地 址 。 
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* TCP/IP(IP.TCP、UDP、ICMP 等 ) 。 

* 协议 信息 ,如 TCP 和 UDP 的 端口 号 ,或 者 ICMP 的 消息 类 型 。 

命令 语法 如 下 。 

Router (config)#access— list 100~ 199|2000~ 2699 permit | deny IP protocol source address 

source wildcard mask [protocol information] destination address destination wildcard mask 

[protocol information] [log] 

可 以 看 出 ,扩展 编号 ACL 比 标准 编号 ACL 配置 复杂 。 扩 展 编号 ACL 使 用 100—199 
和 2000— 2699 范围 内 的 数字 。 紧 随 permit 或 deny 后 面 的 是 所 希望 匹配 的 协议 种 类 。 常 
见 的 协议 种 类 有 ip、iemp、tcp、udp、igrp、eigrp、igmp、ospf 等 。 若 要 匹配 任意 IPCTCP, 
UDP ICMP 等 ) ,可 以 为 协议 使 用 了 P 关键 字 。 接 下 来 指定 源 地 址 及 其 通配符 掩 码 以 及 根据 
协议 类 型 添加 协议 相关 信息 。 接 着 指定 目的 地 址 及 其 通配符 掩 码 , 以 及 根据 协议 类 型 添加 
协议 相关 信息 。Log 参数 把 日 志 信息 记录 到 控制 台 或 系统 日 志 服 务 器 。 

创建 好 规则 后 ,必须 将 规则 应 用 到 相关 端口 才能 发 挥 作用 ,才能 对 路 由 器 端口 上 的 流量 
进行 过 滤 。 

TCP 和 UDP 扩展 ACL 配置 。 

对 于 TCP 和 UDP, 可 以 指定 源 、 目 的 或 同时 指定 源 、 目 的 端口 号 或 端口 名 称 。 要 指定 
如 何 执行 匹配 ,必须 配置 一 个 操作 符 。TCP 和 UDP 操作 符 见 表 8. 5 ,操作 符 告 诉 路 由 器 如 
何在 端口 号 或 端口 名 称 上 进行 匹配 。 

表 8.5 TCP 和 UDP 操作 符 


操 作 符 说 明 操 作 符 说 明 
让 小 于 eq 等 于 
gt KF range 端口 号 范围 
neq 不 等 于 


这 些 操 作 符 仅 应 用 于 TCP 和 UDP 连接 。 其 他 IP 不 使 用 它们 。 如 果 省 略 了 端口 号 或 
端口 名 称 ,ACL 会 在 所 有 TCP 或 UDP 连接 上 进行 匹配 。 
对 于 TCP 和 UDP 连接 ,可 以 使 用 端口 号 或 端口 名 称 进行 匹配 。 如 要 匹配 Telnet 流 
量 ,可 以 使 用 关键 字 Telnet, 也 可 以 使 用 端口 号 23。 常 见 的 TCP 端口 名 称 和 端口 号 的 对 应 
关系 见 表 8. 6。 
表 8.6 常见 的 TCP 端口 名 称 和 端口 号 的 对 应 关系 


端口 名 称 命令 参数 端口 号 端口 名 称 命令 参数 端口 号 


FTP 数据 端口 ftp-data 20 SMTP smtp 25 
FTP 控制 端口 ftp 21 WWW www 80 
Telnet telnet 23 POP3 pop3 110 


常见 的 UDP 端口 名 称 和 端口 号 的 对 应 关系 见 表 8.7. 
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表 8.7 常见 的 UDP 端口 名 称 和 端口 号 的 对 应 关系 
端口 名 称 命令 参数 端口 号 端口 名 称 命令 参数 端 口 号 
DNS 请 求 dns 53 SNMP snmp 161 


TFTP tftp 69 RIP rip 520 


1. 过 滤 ICMP 流量 
过 滤 ICMP 流量 的 语法 如 下 。 


Router (config) # access- list 100- 199 (2000- 2699) permit | deny icmp source address source - 


wildcard mask destination address destination wildcard mask [icmp message] [log] 


5j TCP 和 UDP 不同 ,ICMP 不 使 用 端口 ,而 是 使 用 消息 类 型 。 表 8. 8 给 出 了 常用 的 
ICMP 消息 类 型 。 如 果 省 略 ICMP 消息 类 型 ,就 会 包括 所 有 的 消息 类 型 。 


表 8.8 常用 的 ICMP 消息 类 型 


消息 类 型 消息 描述 
Administratively-prohibited 表明 分 组 被 过 滤 的 消息 
echo ping 命令 用 于 检查 接收 站 
echo-reply 对 ping 所 生成 的 发 送 消息 的 回应 
Host-unreachable 子 网 可 达 , 但 主机 无 回应 
Net-unreachable 网 络 / 子 网 不 可 达 
Traceroute 使 用 ICMP 时 ,过 滤 Traceroute 信息 


删除 整个 访问 控制 列表 用 命令 no access-list 加 ACL 编号 ,如 执行 no access-list 100 
permit tcp any any, 该 命令 会 导致 路 由 器 忽略 参数 100 后 面 的 所 有 命令 ,使 路 由 器 执行 的 命 
令 好 像 是 no access-list 100, 

2. 扩展 ACL 实例 

下 面 是 一 些 扩 展 ACL 实例 。 


Router (config)# access- list 100 permit tcp any 172.16.0.0 0.0.255.255 


这 一 条 语句 指明 源 地 址 为 任何 地 址 ,目的 地 址 为 172. 16.0. 0/16 时 允许 任何 TCP 会 
话 。Any 等 同 于 0. 0. 0. 0 255. 255. 255. 255, 


Router (config)# access- list 100 permit udp any host 172.16.1.1 eq domain 


这 一 条 语句 允许 将 来 自 源 设备 的 DNS 请 求 送 往 内 部 DNS 服务 器 (172. 16.1. 1) 。 这 里 
移 除 了 0.0.0.0 通配符 掩 码 , 在 TP 地 址 前 面 插入 了 host 关键 字 。 


Router (config)# access- list 100 permit tcp 172.17.0.0 0.0.255.255 host 172.16.1.2 eq telnet 


这 一 条 语句 允许 来 自 网 络 172. 17.0. 0/16 设备 的 所 有 Telnet 连接 ,目的 设备 是 172. 
16.1.2, Telnet 使 用 的 是 TCP. 


Router (config)# access- list 100 permit icmp any 172.16.0.0 0.0.255.255 echo- reply 
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这 一 条 语句 允许 对 ping 的 回复 回 到 网 络 地 址 为 172. 16. 0. 0/16 的 设备 。 仅 允许 回 送 
不 允许 回 送 (echo) ,可 防止 别人 在 该 端口 执行 ping 命令 。 


WA 
Router (config)# access- list 100 deny ip any any 


这 一 行 可 以 不 用 ,默认 最 后 有 一 条 拒绝 所 有 规则 ,因为 不 匹配 前 面 permit 语句 的 所 有 
流量 将 被 丢弃 。 


Router (config)#interface fastEthernet 0/0 

Router (config- if)# ip access- group 100 in 

这 两 条 语句 是 应 用 规则 ,将 规则 应 用 到 路 由 器 Fa0/0 端口 的 入 口 方向 。 

3. 案例 

如 图 8.4 所 示 ,两 个 路 由 器 连接 4 个 不 同 部 门 ,分 别 为 学 生 ,教师 .校长 和 网 络 中 心 。 为 
了 加 强 网 络 的 安全 性 ,要求 ， 

COD 不 允许 学 生机 访问 网 络 中 心 的 Web 服务 以 及 FTP 服务 。 

(2) 不 允许 学 生机 ping 测试 校长 计算 机 。 


192.168.8.200/24 


Server-PT 
FTP-Server 


192.168.1.0/24 
学 生 


192.168.8.100/24 


Server-PT 
S4 WEB-Server 


LE 
PC-PT 
PCI Si 


192.168.4.0/30 


192.168.2.0/24 


en ud Boni em 
图 8.4 扩展 编号 ACL 实验 拓扑 图 
整个 网 络 的 IP 地 址 规划 见 表 8. 9。 
表 8.9 整个 网 络 的 IP 地 址 规划 
设 备 端口 IP 35 址 子 网 掩 码 
So/o/0 192.168.4.1 255. 255. 255. 252 
R1 Fa0/0 192. 168. 1. 1 255. 255. 255, 0 
Fa0/1 192. 168. 2. 1 255. 255. 255. 0 
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ZR 
设 备 端口 IP 3b ht 子 网 掩 码 
S0/0/0 192.168.4.2 255. 255. 255. 252 
R2 Fa0/0 192.168.8.1 255. 255. 255. 0 
Fa0/1 192.168.3.1 255. 255. 255. 0 
PCI 网 卡 192. 168. 1. 100 255. 255. 255. 0 
PC2 网 卡 192. 168. 2. 100 255. 255. 255.0 
PC3 网 卡 192. 168. 3. 100 255. 255. 255. 0 
WEB-Server 网 卡 192. 168. 8. 100 255. 255. 255. 0 
FTP-Server 网 卡 192. 168. 8. 200 255.255. 255.0 
具体 配置 过 程 如 下 。 
(1) 配置 网 络 , 使 网 络 互联 和 互通。 
CD 路 由 器 RI 的 配置 如 下 。 
Router (config)#hostname Rl // 为 路 由 器 命名 
R1 (config)# interface fastEthernet 0/0 // 进 入 路 由 器 端口 Fa0/0 
R1 (config- if)#ip address 192.168.1.1 255.255.255.0 // 为 端口 配置 IP 地 址 
R1 (config- if)# no shu // 激 活 
R1 (config- if)#exit // 退 出 
RI1 (config)# interface fastEthernet 0/1 // 进 入 路 由 器 端口 Fa0/1 
R1 (config- if)#ip address 192.168.2.1 255.255.255.0 // 为 端口 配置 IP 地 址 


Rl (config- if)#no shu 

Rl(config-if)fexit 

l(config)f interface serial 0/0/0 

R1 (config- if)f ip address 192.168.4.1 255. 
Rl (config- if)$ no shu 

R1 (config- if)f clock rate 64000 


© 路 由 器 R2 的 配置 如 下 。 


Router (config)#hostname R2 

R2 (config)f interface fastEthernet 0/0 

R2 (config-if)f ip address 192.168.8.1 255. 
R2(config-if)ftexit 

R2 (config)f interface fastEthernet 0/1 

R2 (config-if)f ip address 192.168.3.1 255. 
R2 (config- if)# no shu 

R2(config-if)fexit 

R2 (config)f interface serial 0/0/0 

R2 (config-if)f ip address 192.168.4.2 255. 


255.255.252 


255.255.0 


255.255.0 


255.255.252 


// 激 活 

// 退 出 

// 进 入 端口 s0/0/0 

// 为 端口 配置 ITP 地址 
// 激 活 

// 为 端口 配置 时 钟 频率 


// 为 路 由 器 命名 
// 进 入 端口 Fa0/0 
// 配 置 ITP 地 址 

// 退 出 

// 进 入 端口 Fa0/1 
// 配 置 端口 rp 地 址 
// 激 活 端 口 

// 退 出 

// 进 入 端口 S0/0/0 
// 配 置 端口 TP 地址 
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@ 配置 动态 路 由 协议 OSPF ,使 网 络 互联 互通 。 
路 由 器 R1 的 配置 如 下 。 


R1 (config)# router ospf 1 // 开 启 路 由 器 动态 路 由 协议 OSPF 
R1 (config- router)#network 192.168.1.0 0.0.0.255 area 0 

//oser 把 当前 路 由 器 上 位 于 网 络 192.168.1.0/255.255.255.0 的 端口 加 入 区 域 0 

R1 (config- router)# network 192.168.2.0 0.0.0.255 area 0 

//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.2.0/255.255.255.0 的 端口 加 入 区 域 0 

R1 (config- router)# network 192.168.4.0 0.0.0.3 area 0 

//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.4.0/255.255.255.0 的 端口 加 入 区 域 0 


路 由 器 R2 的 配置 如 下 。 


R2 (config- router)#router ospf 1 // 开 启 路 由 器 动态 路 由 协议 ospr 
R2 (config- router)#network 192.168.3.0 0.0.0.255 area 0 

//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.3.0/255.255.255. 0 的 端口 加 入 区 域 0 

R2 (config- router)#network 192.168.8.0 0.0.0.255 area 0 

/ /oser 把 当前 路 由 器 上 位 于 网 络 192.168.8.0/255.255.255.0 的 端口 加 入 区 域 0 

R2 (config- router)#network 192.168.4.0 0.0.0.3 area 0 

/ /oser 把 当前 路 由 器 上 位 于 网 络 192.168.4.0/255.255.255.0 的 端口 加 入 区 域 0 


@ 查看 路 由 器 RI 的 路 由 表 如 下 。 


Rl# show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP. 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1l, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS- IS level-1, L2 - IS- IS level-2, ia - IS- IS inter area 
* -candidate default, U - per-user static route, o -ODR 
P -periodic downloaded static route 
Gateway of last resort is not set 
c 192.168.1.0/24 is directly connected, FastEthernet0/0 
c 192.168.2.0/24 is directly connected, FastEthernet0/1 
o 192.168.3.0/24 [110/65] via 192.168.4.2, 00:00:25, Serial0/0/0 
192.168.4.0/30 is subnetted, 1 subnets 
e 192.168.4.0 is directly connected, Serial0/0/0 
192.168.8.0/24 [110/65] via 192.168.4.2, 00:00:25, Serial0/0/0 
Ri 


查看 路 由 器 R2 的 路 由 表 如 下 。 


R2# show ip route 
Codes: C - connected, S - static, I ~ IGRP, R - RIP, M — mobile, B -BGP 
D —EIGRP, EX —EIGRP external, O —OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS-IS level-1, L2 -IS- IS level-2, ia -IS- IS inter area 
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s 


* -candidate default, U - per-user static route, o -ODR 
P -periodic downloaded static route 
Gateway of last resort is not set 
O  192.168.1.0/24 [110/65] via 192.168.4.1, 00:00:43, Serial0/0/0 
O  192.168.2.0/24 [110/65] via 192.168.4.1, 00:00:43, Serial0/0/0 
C  192.168.3.0/24 is directly connected, FastEthernet0/1 
192.168.4.0/30 is subnetted, 1 subnets 


c 192.168.4.0 is directly connected, Serial0/0/0 
c 192.168.8.0/24 is directly connected, FastEthernet0/0 
R2# 


查看 路 由 表 的 结果 表明 ,两 台 路 由 器 的 路 由 表 是 全 的 ,整个 网 络 可 以 实现 互联 互通 。 接 
着 为 终端 计算 机 以 及 服务 器 按照 表 8. 9 所 示 配 置 相 关 网 络 参 数 ,至 此 整个 网 络 实现 互联 
互通 。 

(2) 查看 Web-Server 以 及 FTP-Server 服务 器 情况 。 

图 8. 5 为 Web-Server 运行 状态 图 。 从 图 8. 5 中 可 以 看 出 ,Web-Server 已 经 开启 ,并 且 
可 以 显示 网 站 内 容 的 HTML 代码 。 当 然 , 可 以 通过 修改 HTML 代码 改变 网 页 的 内 容 。 


Physical Config Desktop 


HTTP 
HTTP HTTPS 
€ on O off € on O off 


File Name: [index.html 
<html> 
<center><font size='+2' color='blue'>Cisco Packet 


Tracer</font></center> 

<hr>Welcome to Cisco Packet Tracer. Opening doors to new 
opportunities. Mind Wide Open. 

<p>Quick Links: 

<br><a href='helloworid.html'>A small page</a> 

<br><a href-'copyrights.html'»Copyrights«/a» 

<br><a href-'image.html'»Image page</a> 

<br><a href='image.jpg'>Image</a> 

</html> 


图 8.5 Web-Server 运行 状态 图 


接 下 来 查看 FTP-Server 情况 。 从 图 8.6 可 以 看 出 ,FTP-Server 已 经 开启 ,默认 登录 用 
户 名 和 密码 都 为 cisco。 

(3) 测试 学 生机 访问 网 络 中 心 FTP-Server 和 Web-Server 服务 器 的 情况 。 

在 学 生机 上 利用 FTP 登录 命令 远程 登录 到 IP 地 址 为 192. 168. 8. 200 的 FTP-Server。 登 
录 结 果 如 图 8. 7 所 示 ,结果 表明 能 够 登录 成 功 , 并 且 能 够 通过 dir 命令 显示 当前 文件 列表 。 

通过 学 生机 浏览 器 访问 Web-Server, 访 问 结果 如 图 8. 8 所 示 。 结 果 表明 网 站 访问 正 
常 。 显 示 的 网 页 内 容 可 以 在 卫 地 址 为 192. 168. 8. 100 的 Web-Server 上 通过 html 语句 进 
行 修改 。 
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È FTP-Server m 
Physical Config Desktop 
GLOBAL 
Settings FTP 
Algorithm Settings Service @ on O off 
SERVICES 
HTTP User Setup 
DHCP 1 
= UserName Password 
DNS L]write [Read O Delete [] Rename []List 
SYSLOG 
UserName Password Permission 
AAA + 
NTP 1 disco disco RWDNL 
EMAIL 
FTP 
INTERFACE 
File * 
FastEthernet 
1 cl841-advipservicesk9-mz.124-15.T1.bin 
< > 
Remove 


图 8.6 FTP-Server 运行 状态 图 


图 8.7 访问 FTP-Server 


LL - B0 x 


Physical Config Desktop 


URL [http://192. 168. 8.100 


Cisco Packet Tracer 


Welcome to Cisco Packet Tracer. Opening doors to new opportunities. Mind Wide Open 
Quick Links: 

A small pare 

Copvri shts. 

TInage page 

Insge 


图 8.8 访问 Web-Server 


接 下 来 测试 学 生机 ping 校长 机 的 情况 ,校长 机 的 IP 地 址 为 192. 168. 3. 100 ,用 学 4 
ping 该 IP 地 址 ,结果 如 图 8. 9 所 示 。 结 果 表 明 可 以 ping 通 .并 且 返 回 值 为 126 .说明 经 过 了 
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两 个 路 由 。 


图 8.9 学 生机 访问 校长 机 连通 性 测试 


(4) 配置 扩展 访问 控制 列表 须 满足 以 下 两 个 条 件 

。 不 允 生机 访问 网 络 中心 的 Web-Server 以 及 FTP-Server, 

。 不 允许 学 生机 ping 校长 计算 机 。 

CD 选择 配置 访问 控制 列表 的 路 由 器 ,该 拓扑 中 有 两 个 路 由 器 ,分 别 为 Rl A R2, Web- 
Server fll FTP-Server 通过 交换 机 SA 和 路 由 器 R2 相连 ,在 路 由 器 RI 上 实施 扩展 访问 控制 
列表 较为 合理 。 

为 了 实现 第 一 个 条 件 , 规 则 100 定义 如 下 


255 host 192.168.8.100 eq www 
.168.8.200 eq ftp 


R1 (config)#access- list 100 deny tcp 192.168.1.0 0.0.0. 
R1 (config)# access-list 100 deny tcp 192.168.1.0 0.0.0. 
R1 (config)# access-list 100 deny icmp 192.168.1.0 0.0.0.255 host 192.168.3.100 


255 host 192 


R1 (config)#access- list 100 permit ip any any 

Rl (config) # 

@ 定义 好 规则 之 后 , 接 下 来 在 相关 端口 应 用 该 规则 

为 了 实现 不 允许 学 生机 访问 网 络 中 心 的 Web-Server 以 及 FTP-Server, 不 允许 学 生机 
ping 校长 计算 机 。 在 路 由 器 RI 的 Fa0/0 端口 应 用 规则 100, 具 体 配 置 如 下 。 


R1 (config)# interface fastEthernet 0/0 

R1 (config- if)# ip access- group 100 in 

O 测试 最 终 效果 。 

学 生机 不 能 访问 Web-Server, 如 图 8. 10 所 示 


Ls 


Physical Config Desktop 


& > | URL [http://192. 168.8. 100 Go Stop 


Request Timeout 


图 8. 10 访问 Web-Server 情况 
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学 生机 不 能 访问 FTP-Server, 如 图 8. 11 所 示 。 


图 8.11 访问 FTP-Server 情况 


学 生机 可 以 ping 通 Web-Server, 不 能 ping 通 校长 机 ,如 图 8. 12 和 图 8. 13 所 示 


图 8.12 学 生机 可 以 ping 通 Web-Server 


图 8.13 学 生机 不 能 ping 通 校 长 机 


结果 符合 要 求 , 实 验 成 功 
8.6 三 层 交 换 机 实现 扩展 编号 访问 控制 列表 


访问 控制 列表 技术 主要 应 用 在 路 由 器 上 ,但 现在 三 层 交 换 技术 在 大 中 型 企业 中 应 用 越 
来 越 广泛 ,访问 控制 列表 是 构建 安全 规范 网 络 不 可 缺少 的 ,掌握 三 层 交 换 机 中 ACL 配置 方 
法 显得 比较 重要 

下 面 通 演示 扩展 编号 访问 控制 列表 过 程 。 如 图 8. 14 所 示 , 两 台 三 层 交 换 机 连接 
4 个 部 门 , 分 别 为 学 生 、 教 师 、 校 长 和 网 络 中心 , 这 4 个 部 门 处 于 不 同 的 VLAN。 要 求 : 
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192.168.1.100/24 


学 生 
PC-P VLANIO 
PCI Fa0/1—Fa0/12 


192.168.1.0/24 VLAN 40 


192.168.4.0/30 


3560-24PS 
Switchl 
教师 
VLAN20 
Fa0/13—Fa0/24 
192.168.2.0/24 


PC-PT 
PC2 
192.168.2.100/24 


图 8.14 


192.168.8.200/24 


Server-PT 
FTP-Server 


网 络 中 心 
VLAN80 
Fa0/13—Fa0/24 
192.168.8.0/24 
Server-PT 

Web-Server 
192.168.8.100/24 


3560-24PS 
Switch2 


校长 
pcpr VLAN30 
PC3 Fa0/13—Fa0/24 


192.168.3.100/24 192.168.3.0/24 


三 层 交换 机 实现 扩展 编号 访问 控制 列表 拓扑 图 


D 不 允许 学 生机 访问 网 络 中 心 的 Web-Server 以 及 FTP-Server。 


@ 不 允许 学 生机 ping 校长 计算 机 。 
具体 VLAN 划分 见 表 8. 10。 


表 8.10 具体 VLAN 划分 


部 门 名 称 VLAN 号 LESE 端口 划分 
学 生 VLANIO 192. 168. 1. 0/24 Fa0/1— Fa0/12 
教师 VLAN20 192. 168. 2. 0/24 Fa0/13~Fa0/24 
校长 VLAN30 192. 168. 3. 0/24 Fa0/1— Fa0/12 
网 络 中 心 VLAN80 192. 168. 8. 0/24 Fa0/13~Fa0/24 


终端 计算 机 及 服务 器 地 址 配置 见 表 8. 11。 


表 8.11 终端 计算 机 及 服务 器 地 址 配置 
设备 名 称 IP 地 址 默认 网 关 
PC1 192. 168. 1. 100/24 192.168.1.1 
PC2 192. 168. 2. 100/24 192.168.2.1 
PC3 192. 168. 3. 0/24 192.168.3.1 
Web-Server 192. 168. 8. 100/24 192.168.8.1 
FTP-Server 192. 168. 8. 200/24 192.168.8.1 
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(1) 配置 网 络 使 网 络 互联 互通 。 
(D 首先 配置 三 层 交 换 机 Switchl 。 


Switch (config)# hostname Switchl 

Switchl (config) #vlan 10 

Switchl(config- vlan)#vlan 20 
Suwitchl(config-vlan)fexit 

Switchl (config)# interface range fastEthernet 0/1 -12 
Switchl(config- if- range) # switchport access vlan 10 
Switch] (config- if- range) #exit 

Switchl (config) # interface range fastEthernet 0/13 -24 
Switchl (config- if- range) # switchport access vlan 20 


© 配置 VLAN10 fil VLAN20 网 关 地 址 。 


Switchl (config)# interface vlan 10 

Switchl (config- if)# ip address 192.168.1.1 255.255.255.0 
Switchl (config- if)# no shu 

Switchl (config- if)#exit 

Switchl (config)# interface vlan 20 

Switchl (config- if)#ip address 192.168.2.1 255.255.255.0 
Switchl (config- if)#no shu 


@ 配置 交换 机 Switch2 。 


Switch (config)#hostname Switch2 

Switch2 (config)#vlan 80 

Switch2 (config- vlan)# vlan 30 

Switch2 (config- vlan)# exit 

Switch2 (config)# interface range fastEthernet 0/1- 12 
Switch2 (config- if- range)# switchport access vlan 80 
Switch2 (config- if- range)fexit 

Switch2 (config)# interface range fastEthernet 0/13 - 24 
Switch2 (config- if- range)# switchport access vlan 30 


@ 配置 VLANSO fil VLAN30 网 关 地 址 。 


Switch2 (config)# interface vlan 30 

Switch2 (config- if)# ip address 192.168.3.1 255.255.255.0 
Switch2 (config- if)# no shu 

Switch2 (config-if)fexit 

Switch2 (config)# interface vlan 80 

Switch2 (config-if)fip address 192.168.8.1 255.255.255.0 
Switch? (config-if)£ no shu 


C 两 台 三 层 交 换 机 之 间 通 过 VLAN40 相连 。 
首先 配置 Switchl 。 


Switchl(config)fvlan 40 
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// 为 交换 机 命名 

// 创 建 VLAN10 

// 创 建 VAN20 

// 退 出 

// 进 入 交换 机 端口 Fa0/1~ Fa0/12 
// 端 口 Fa0/1-Fa0/12 划 入 VIAN10 
// 退 出 

// 进 入 交换 机 端口 Fa0/13~ Fa0/24 
// 端 口 Fa0/13~Fa0/24 划 入 VLAN20 


// 进 入 VLAN 端口 模式 
// 配 置 VLAN 端口 IP 地 址 
// 激 活 

// 退 出 

// 进 入 NLAN 端口 模式 
// 配 置 VIAN 端口 IP 地 址 
// 激 活 


// 为 交换 机 命名 

// 创 建 VIAN80 

// 创 建 VLAN30 

// 退 出 

// 进 入 交换 机 端口 Fa0/1~ Fa0/12 
// 端 口 Fa0/1~Fa0/12 划 入 VLANGO 
// 退 出 

// 进 入 交换 机 端口 Fa0/13~ Fa0/24 
// 端 口 Fa0/13~Fa0/24 划 入 VIAN30 


// 进 入 VLAN 端口 模式 
// 配 置 VAN 端口 IP 地 址 
// 激 活 

// 退 出 

// 进 入 VLAN 端口 模式 
// 配 置 TaN 端 口 IP 地 址 
// 激 活 


// 创 建 TaN40 
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Switchl (config- vlan)#exit // 退 出 

Switchl (config)# interface vlan 40 // 进 入 VLAN 端口 模式 
Switchl(config-if)£ ip address 192.168.4.1 255.255.255.252 // 配 置 IP 地 址 
Switchl (config- if)# no shu // 激 活 

Switchl (config- if)#exit // 退 出 


将 连接 两 台 交 换 机 的 端口 G0/1 配置 成 Trunk 模式 。 


Switchl (config)# interface gigabitEthernet 0/1 // 进 入 端口 G0/1 
Switchl (config- if)# switchport trunk encapsulation dotlq // 将 端口 封装 成 dotlq 
Switchl (config- if)# switchport mode trunk // 将 端口 配置 成 Trunk 模式 


% LINEPROTO- 5- UPDOWN: Line protocol on interface gigabitEthernet0/1l, changed state to down 
LINEPROTO- 5- UPDOWN: Line protocol on interface gigabitEthernet0/1l, changed state to up 
* LINEPROTO- 5- UPDOWN: Line protocol on Interface Vlan40, changed state to up 


接 下 来 配置 Switch2 。 

Switch2 (config)#vlan 40 // 创 建 VLAN40 

Switch2 (config- vlan)£ exit // 退 出 

Switch2 (config)# interface vlan 40 // 进 入 NLAN 端口 模式 
Switch? (config- if)#ip address 192.168.4.2 255.255.255.252 // 创 建 VIAN 端 口 IP 地 址 
Switch2 (config- if)# no shu // 激 活 

Switch2 (config-if)fexit // 退 出 


将 连接 两 台 交换 机 的 端口 G0/1 配置 成 Trunk 模式 。 


Switch? (config)# interface gigabitEthernet 0/1 // 进 入 端口 G0/1 
Switch2 (config-if)$switchport trunk encapsulation dotlq // 将 端口 配置 成 Trunk 模式 
Switch2 (config- if)# switchport mode trunk // 将 端口 配置 成 rrunk 模 式 


一 般 情况 下 ,将 Switchl 交换 机 连接 交换 机 Switch2 的 端口 设置 为 Trunk 模式 后 ,交换 
机 switch2 连接 两 台 交 换 机 的 端口 自 适应 成 Trunk 模式 。 

配置 动态 路 由 协议 OSPF ,使 网 络 互联 互通 。 

首先 配置 交换 机 Switch1 。 


Switchl (config)#router ospf 1 // 开 启 OSPF 
Switchl (config- router)#network 192.168.1.0 0.0.0.255 area 0 

//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.1.0/255.255.255.0 的 端口 加 入 区 域 0 
Switchl (config- router)# network 192.168.2.0 0.0.0.255 area 0 

//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.2.0/255.255.255.0 的 端口 加 入 区 域 0 
Switchl (config- router)# network 192.168.4.0 0.0.0.3 area 0 

//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.4.0/255.255.255.0 的 端口 加 入 区 域 0 


接 下 来 配置 Switch2 。 


Switch2 (config)#router ospf 1 // 开 启 OSPF 
Switch? (config- router)#network 192.168.3.0 0.0.0.255 area 0 

//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.3.0/255.255.255.0 的 端口 加 入 区 域 0 
Switch2 (config- router) # network 192.168.8.0 0.0.0.255 area 0 
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//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.8.0/255.255.255.0 的 端口 加 入 区 域 0 
Switch2 (config- router) # network 192.168.4.0 0.0.0.3 area 0 

//osPF 把 当前 路 由 器 上 位 于 网 络 192.168.4.0/255.255.255.0 的 端口 加 入 区 域 0 
Switch2 (config- router) # 


查看 路 由 表 。 


Switchl# show ip route 

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS-IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U - per-user static route, o -ODR 
P -periodic downloaded static route 

Gateway of last resort is not set 

c 192.168.1.0/24 is directly connected, VlanlO 

c 192.168.2.0/24 is directly connected, Vlan20 

o 192.168.3.0/24 [110/2] via 192.168.4.2, 00:00:37, Vlan40 

192.168.4.0/30 is subnetted, 1 subnets 

c 192.168.4.0 is directly connected, Vlan40 

o 192.168.8.0/24 [110/2] via 192.168.4.2, 00:00:37, Vlan40 

Switchl# 


交换 机 Switch2 路 由 表 如 下 。 


Switch2# show ip route 

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B -BGP 
D -EIGRP, EX - EIGRP external, O -OSPF, IA -OSPF inter area 
N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2 
El -OSPF external type 1, E2 -OSPF external type 2, E -EGP 
i -IS-IS, Ll -IS- IS level-1, L2 - IS- IS level-2, ia -IS- IS inter area 
* -candidate default, U -per- user static route, o -ODR 
P -periodic downloaded static route 

Gateway of last resort is not set 

o 192.168.1.0/24 [110/2] via 192.168.4.1, 00:01:06, Vlan40 

o 192.168.2.0/24 [110/2] via 192.168.4.1, 00:01:06, Vlan40 

e 192.168.3.0/24 is directly connected, Vlan30 

192.168.4.0/30 is subnetted, 1 subnets 

c 192.168.4.0 is directly connected, Vlan40 

c 192.168.8.0/24 is directly connected, Vlan80 

Switch2# 


CD 通过 查看 两 台 三 层 交 换 机 的 路 由 表 , 结 果 显示 路 由 表 完 整 。 

@ 配置 终端 计算 机 以 及 服务 器 网 络 参数 ,验证 学 生机 访问 Web-Server 的 结果 ,如 
图 8. 15 所 示 ,结果 表明 能 够 成 功 访问 。 

验证 学 生机 访问 FTP-Server, 结 果 如 图 8. 16 所 示 ,表明 访问 成 功 。 
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(2) 配置 访问 控制 列表 ,要 3 
。 不 允许 学 4 
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图 8.15 Web-Server 访问 情况 


4 pct 
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图 8.16 FTP-Server 访问 情况 


生机 ping 校长 机 ,结果 如 图 8. 17 所 示 ,表明 能 够 成 功 ping 通 


图 8.17 学 生机 ping 测试 校长 机 情况 


生机 访问 网 络 中 心 的 Web-Server 以 及 FTP-Server. 
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。 不 允许 学 生机 ping 校长 机 。 
(D 定义 规则 : 配置 不 允许 学 生机 访问 网 络 中心 的 Web-Server 以 及 FTP-Server, 访 问 
控制 列表 规则 定义 如 下 。 


Switchl(config)faccess- list 100 deny tcp 192.168.1.0 0.0.0.255 host 192.168.8.100 eq www 
Switchl (config)# access- list 100 deny tcp 192.168.1.0 0.0.0.255 host 192.168.8.200 eq ftp 
Switchl (config)# access- list 100 deny icmp 192.168.1.0 0.0.0.255 host 192.168.3.100 
Switchl (config)# access- list 100 permit ip any any 

Switch1 (config) # 


© 应 用 规则 ,将 规则 应 用 到 VLAN10, 具 体 配 置 如 下 。 


Switchl (config)# interface vlan 10 
Switchl (config- if)# ip access- group 100 in 
Switchl(config-if)$ 


© 测试 实验 效果 
学 生机 访问 Web-Server 的 结果 如 图 8. 18 所 示 ,表明 学 生机 不 能 访问 Web-Server, 


d pct 


Physical Config Desktop 


Web Browser 
> | URL [hter 7/192. 168.8. 100| Go Stop 


Request Timeout 


图 8.18 Web-Server 访问 情况 


学 生机 访问 FTP-Server 的 结果 如 图 8. 19 所 示 , 表 明 学 生机 不 能 访问 FTP-Server, 


图 8. 19 FTP-Server 访问 情况 


用 学 生机 ping 校长 机 ,结果 如 图 8. 20 所 示 ,表明 不 能 ping 通 。 
同样 ,用 教师 机 ping 校长 机 ,是 可 以 ping 通 的 ,结果 如 图 8. 21 所 示 。 
用 教师 机 访问 Web-Server 的 结果 如 图 8. 22 所 示 ,表明 能 够 成 功 访问 。 
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图 8.20 学 生机 ping 测试 校长 机 情况 


Command Prompt 


图 8.21 教师 机 ping 测试 校长 机 情况 


a = p x 


Physical Config Desktop 


Web Browser 
€ > | URL |http://192. 168.8. 100 
Cisco Packet Tracer 


Welcome to Cisco Packet Tracer. Opening doors to new opportunities. Mind Wide Open. 


| quick Links 
| A snall paze 
Copyrights. 


| Inaze pare 
| Inaze 


图 8.22 教师 机 访问 Web-Server 情况 


8.7 命名 ACL 


8.7.1 简介 


从 iOS 11. 2 版 本 开始 ,Cisco 路 由 器 同时 支持 编号 ACL 和 命名 ACL, 与 编号 ACL 不 
同 , 在 命名 ACL 中 ,可 以 删除 单个 条 目 ,而 不 是 删除 整个 ACL, 
创建 命名 ACL 的 命令 格式 如 下 。 
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Router (config)# ip access- list standed | extended ACL name 

首先 指定 ACL 的 类 型 : 标准 (standed) 或 者 扩展 (extended)。 接 着 给 出 ACL 的 名 称 。 
名 称 在 所 有 命名 ACL 中 必须 具有 唯一 性 。 一 旦 执行 上 述 命令 ,将 进入 相应 的 ACL 子 配置 
模式 ,如 下 所 示 。 

Router (config- std- nacl)# 标准 访问 控制 列表 
或 者 

Router (config- ext- nacl)# 扩展 访问 控制 列表 

一 旦 进入 子 配置 模式 ,就 可 以 输入 ACL 命令 。 对 于 标准 命名 ACL ,配置 命令 如 下 。 


Router (config)# ip access- list standed ACL name 
Router (config- std- nacl)f permit|deny source IP address [wildcard mask] 


对 于 扩展 命名 ACL ,配置 命令 如 下 。 


Router (config)# ip access- list extended ACL name 
Router (config- ext- nacl)f permit|deny IP protocol source IP address wildcard mask [protocol 


information] destination IP address wildcard mask [protocol information] [log] 


创建 标准 命名 或 者 扩展 命名 ACL 和 创建 编号 ACL 相似 。 同 样 ,一 旦 创建 了 标准 命名 
或 者 扩展 命名 ACL ,就 必须 在 相应 的 端口 上 应 用 该 规则 ,此 时 应 用 的 是 规则 名 称 , 而 不 是 
号 码 。 


8.7.2 命名 访问 控制 列表 配置 实例 
CD 定义 规则 : 


Router (config)# ip access- list extended tdp 

Router (config- ext- nacl)£ permit tcp any 172.16.0.0 0.0.255.255 

Router (config- ext- nacl)£ permit udp any host 172.16.1.1 eq domain 

Router (config- ext- nacl)£ permit tcp 172.17.0.0 0.0.255.255 host 172.16.1.2 eq telnet 
Router (config- ext- nacl)f permit icmp any 172.16.0.0 0.0.255.255 echo- reply 

Router (config- ext- nacl)f$ deny ip any any 


(20 应 用 规则 : 


Router (config- ext- nacl)#exit 

Router (config)f interface fastEthernet 0/0 
Router (config-if)f ip access- group tdp in 
Router (config-if)& 


选择 使 用 命名 ACL, 还 是 使 用 编号 ACL, 只 是 个 人 喜好 ,它们 都 能 实现 相同 的 功能 。 
8.7.3 命名 访问 控制 列表 配置 案例 


HA 3 台 路 由 器 连接 4 个 部 门 的 网 络 ,网 络 拓扑 如 图 8. 23 所 示 。 
具体 IP 配置 见 表 8. 12。 


247 


网 络 互联 技术 与 实践 


学 生 
192.168.1.100/24 


S0/0/1 
192.168.4.0/30 


2 
Fa0/9 77 


网 络 中 心 
192.168.5.10024 


P 


Server-PT 
Web-Server 


PC-PT PC-PT 
PC2 PC3 
192.168.2.100/24 192.168.6.100/24 
教师 校长 
图 8.23 命名 访问 控制 列表 配置 网 络 拓扑 结构 
表 8.12 具体 IP 配置 
设 备 » n IP 3b 址 TY Wd 
S0/0/0 192.168.3.1 255. 255. 255. 252 
R1 Fa0/0 192. 168. 1. 1 255. 255. 255. 0 
Fa0/1 192. 168. 2. 1 255. 255. 255. 0 
S0/0/0 192. 168.3.2 255. 255. 255. 252 
S0/0/1 192. 168.4.1 255. 255. 255. 252 
T Fa0/0 192.168.5.1 255.255. 255.0 
Fa0/1 192.168.3.1 255.255. 255.0 
S0/0/1 192.168. 4.2 255. 255. 255. 252 
s Fa0/0 192.168.6.1 255.255. 255.0 
PC1 网 卡 192. 168. 1. 100 255. 255. 255. 0 
PC2 网 卡 192. 168. 2. 100 255. 255. 255. 0 
PC3 网 卡 192. 168. 6. 100 255. 255. 255. 0 
Web-Server 网 卡 192. 168. 5. 100 255. 255. 255. 0 


要 求 配置 标准 命名 访问 控制 列表 ,实现 : 
。 禁止 学 生 对 教师 计算 机 的 一 切 访问 。 
要 求 配置 扩展 命名 访问 控制 列表 ,实现 : 
* 不 允许 学 生 访问 网 络 中 心 Web-Server 的 Web 站 点 。 
* 不 允许 学 生 ping 测试 校长 机 。 


具体 配置 过 程 如 下 。 
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(1) 配置 网 络 环境 ,使 网 络 互 联 互通 。 
O 路 由 器 R1 的 配置 过 程 如 下 。 


Router (config)# hostname R1 
R1 (config)# interface fastEthernet 0/0 


Rl(config-if)fip address 192.168.1.1 255.255.255.0 


R1 (config- if)#no shu 
R1 (config- if)#exit 
R1 (config) # interface fastEthernet 0/1 


R1 (config- if)# ip address 192.168.2.1 255.255 


Rl (config- if)#no shu 
Rl(config-if)fexit 
R1 (config)f interface serial 0/0/0 


R1 (config- if)# ip address 192.168.3.1 255.255. 


Rl (config- if)#no shu 
R1 (config- if)# clock rate 64000 


© 路 由 器 R2 的 基本 配置 如 下 。 


Router (config)#hostname R2 
R2 (config)# interface fastEthernet 0/0 


R2 (config- if)# ip address 192.168.5.1 255.255. 


R2 (config- if)#no shu 
R2(config-if)fexit 
R2 (config)# interface serial 0/0/1 


R2 (config-if)fip address 192.168.4.1 255.255. 


R2 (config- if)# clock rate 64000 
R2 (config- if)# no shu 
R2(config-if)fexit 

R2 (config)f interface serial 0/0/0 


R2 (config- if)# ip address 192.168.3.2 255.255 


R2 (config- if)# no shu 
© 路 由 器 R3 的 基本 配置 如 下 。 


Router (config)#hostname R3 
R3 (config)# interface serial 0/0/1 


R3 (config- if)# ip address 192.168.4.2 255.255. 


R3 (config- if)#no shu 
R3(config-if)fexit 
R3 (config)# interface fastEthernet 0/0 


R3(config-if)fip address 192.168.6.1 255.255 


R3 (config- if)#no shu 


-255.0 


255.252 


255.0 


255.252 


.255.252 


255.252 


.255.0 


@ 配置 动态 路 由 协议 EIGRP, 使 网 络 互联 互通 。 


首先 配置 路 由 器 RI. 


R1 (config)# router eigrp 1 
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// 为 路 由 器 命名 

// 进 入 路 由 器 Fa0/0 端 口 
// 配 置 端口 TP 地址 
// 激 活 

// 退 出 

// 进 入 路 由 器 端口 Fa0/1 
// 配 置 端口 IP 地 址 

// 激 活 

// 退 出 

// 进 入 端口 s0/0/0 

// 配 置 端口 IP 地 址 

// 激 活 

// 配 置 端口 时 钟 频率 


// 为 路 由 器 命名 

// 进 入 路 由 器 端口 Fa0/0 
// 为 端口 配置 TP 地 址 

// 激 活 

// 退 出 

// 进 入 路 由 器 端口 SO/OV1 
// 为 路 由 器 端口 配置 IP 地 址 
// 配 置 时 钟 频率 

// 激 活 

// 退 出 

// 进 入 路 由 器 端口 s0/0/0 
// 为 端口 配置 TP 地 址 

// 激 活 


// 为 路 由 器 命名 

// 进 入 路 由 器 端口 s0/0/1 
// 为 端口 配置 TP 地址 
n 

// 退 出 

// 进 入 路 由 器 端口 Fa0/0 

// 为 路 由 器 端口 配置 rp 地 址 
// 激 活 


// 启 用 EIGRP 路 由 协议 
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| 
R1 (config- router)# network 192.168.1.0 0.0.0.255 ”// 将 192.168.1.0/24 网络 端口 加 入 EIGRP 
Rl (config- router)# network 192.168.2.0 0.0.0.255 ”// 将 192.168.2.0/24 网 络 端口 加 入 EIGRP 
RI (config- router) # network 192.168.3.0 0.0.0.3 // 将 192.168.3.0/30 网 络 端口 加 入 EXGRP. 


其 次 配置 路 由 器 R2 动态 路 由 协议 EIGRP。 


R2 (config)# router eigrp 1 // 启 用 EIGRP 路 由 协议 

R2 (config- router) # network 192.168.3.0 0.0.0.3 // 将 192.168.3.0/30 网 络 端口 加 入 EXGRP. 
R2 (config- router) # network 192.168.4.0 0.0.0.3 // 将 192.168.4.0/30 网 络 端口 加 入 EIGRP 
R2 (config- router) # network 192.168.5.0 0.0.0.255 ”// 将 192.168.5.0/24 网 络 端口 加 入 EIGRP 


最 后 配置 路 由 器 R3 动态 路 由 协议 EIGRP。 


R3 (config)# router eigrp 1 // 启 用 EIGRP 路 由 协议 

R3 (config- router) # network 192.168.4.0 0.0.0.3 // 将 192.168.4.0/30 网 络 端口 加 入 EIGRP 

R3(config- router)#network 192.168.6.0 0.0.0.255 ”// 将 192.168.6.0/24 网 络 端口 加 入 EIGRP 

C) 配置 终端 计算 机 以 及 服务 器 的 网 络 参数 。 图 8. 24 为 Web-Server 的 网 络 参数 配置 
情况 。 


Physical Config Desktop 


IP Configuration 


IP Address 192.168.5.100 


Subnet Mask 255.255.255.0 


Default Gateway 192.168.5.1 


8.24 Web-Server 的 网 络 参数 配置 情况 


PCI 的 默认 网 关 为 192. 168. 1. 1,PC2 的 默认 网 关 为 192. 168. 2. 1,PC3 的 默认 网 关 为 
192. 168. 6. 1, 

测试 连通 性 。 

学 生机 访问 网 络 中 心 Web-Server, 结 果 如 图 8. 25 所 示 。 

学 生机 ping 校长 机 情况 如 图 8. 26 所 示 .结果 表明 能 够 ping 通 。 

学 生机 ping 教师 机 情况 如 图 8. 27 所 示 ,结果 表明 能 够 ping 通 。 

(2) 要 求 配置 标准 命名 访问 控制 列表 ,实现 : 

。 禁止 学 生 对 教师 机 的 一 切 访问 。 

确定 该 标准 命名 访问 控制 列表 在 路 由 器 RI 上 实施 。 

(D 定义 规则 : 


R1 (config)# ip access- list standard tdp 
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ra - o x 
Physical Config Desktop 


< > | URL [http://192. 168.5. 100) ] Go Stop 


Cisco Packet Tracer 
Welcome to Cisco Packet Tracer. Opening doors to new opportunities. Mind Wide Open. 
Quick Links 


A small page 
Copyrights 


Inaze page 
Inaze 


图 8.25 学 生机 访问 Web-Server 情况 


qk 


Ea - D X 
Physical Config Desktop 


图 8.26 学 生机 ping 测试 校长 机 情况 


& pci 一 口 x 
Physical Config Desktop 


图 8.27 学 生机 ping 测试 教师 机 情况 


to 
e 
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R1 (config- std- nacl)fdeny 192.168.1.0 0.0.0.255 
R1 (config- std- nacl)#permit any 
R1 (config- std- nacl)# 


© 应 用 规则 : 
R1 (config)# interface fastEthernet 0/1 


R1 (config- if)# ip access- group tdp out 
RI (config-if)$ 


@ 验证 实验 效果 : 通 ; 
不 能 ping 通 教 师 机 。 


E BL ping 测试 教师 机 ,实验 结果 如 图 8. 28 所 示 ,表明 学 生机 


7 


Ls -— Hn X 


Physical Config Desktop 


图 8.28 学 生机 ping 测试 教师 机 情况 


校长 机 仍然 能 够 ping 通 教师 机 ,如 图 8. 29 所 示 


4p pc3 = p y 
Physical Config Desktop 


Command Prompt 


图 8.29 校长 机 ping 测试 教师 机 情况 


(3) 要 求 配置 扩展 命名 访问 控制 列表 .实现 : 
。 不 允许 学 生 访 问 网 络 中心 Web-Server 的 Web 站 点 。 
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。 不 允许 学 生 ping 测试 校长 机 。 
访问 控制 列表 规则 在 路 由 器 RI 上 进行 定义 。 
O 首先 在 路 由 器 RI 上 定义 扩展 命名 访问 控制 列表 规则 。 
R1 (config)# ip access- list extended tdp2 
R1 (config- ext- nacl)# deny tcp 192.168.1.0 0.0.0.255 host 192.168.5.100 eq www 
R1 (config- ext- nacl)# deny icmp 192.168.1.0 0.0.0.255 host 192.168.6.100 
R1 (config- ext- nacl)fpermit ip any any 
R1 (config- ext- nacl)# 


© 应 用 规则 : 


R1 (config)# interface fastEthernet 0/0 
RI (config-if)f ip access- group tdp2 in 
RI (config-if)$ 


C 最 后 验证 效果 : 首先 验证 学 
生机 不 能 访问 Web 站 点 。 


E 机 访问 Web-Server 情况 ,结果 如 图 8. 30 所 示 ,表明 学 


Physical Config Desktop 
[Web Browser 
URL |http: //192. 168.5. 100| 


|| Request Timeout 


图 8.30 学 生机 访问 Web-Server 情况 


其 次 验证 学 生机 ping 测试 校长 机 的 情况 ,结果 如 图 8. 31 所 示 , 表 明 学 生机 不 能 ping 
通 校长 机 。 


EI 


Physical Config Desktop 


Command Prompt 


图 8.31 学 生机 ping 测试 校长 机 情况 


在 三 层 交换 机 上 实现 命名 访问 控制 列表 方法 类 似 ,可 自行 练习 。 
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8.7.4 定义 访问 控制 列表 注释 功能 


由 于 有 些 ACL 会 涉及 很 多 语句 ,如 果 不 加 注释 ,很 难 一 下 看 出 该 ACL 的 主要 功能 ,所 
以 适当 添加 注释 有 利于 看 清 ACL 的 功能 。 添 加 ACL 注释 的 语法 如 下 。 
编号 访问 控制 列表 注释 语法 格式 : 


Router (config)faccess-list ACL - # remark 注释 内 容 
命名 访问 控制 列表 注释 语法 格式 : 


Router (config)# ip access- list standard |extended ACL name 
Router (config- (std|ext]- nacl) # remark 注释 内 容 


8.7.5 查看 及 验证 访问 控制 列表 


通过 show 命令 可 以 查看 及 验证 已 经 配置 的 访问 控制 列表 。 常 用 的 命令 为 show 
running-config, 它 将 显示 ACL 以 及 在 哪些 端口 上 启动 了 它 。 还 可 以 使 用 其 他 命令 。 
show ip interfaces 查看 路 由 器 端口 上 启动 ACL 的 情况 ,具体 如 图 8. 32 所 示 。 


Ri#show ip interface 
FastEthernet0/0 is up, line protocol is up (connected) 
Internet address is 192.168.1.1/24 
Broadcast address is 255.255.255.255 
Address determined by setup command 
MIU is 1500 
Helper address is not set 
Directed broadcast forwarding is disabled 
Outgoing access list is not set 
Inbound access list is 100 
Proxy ARP is enabled 
Security level is default 
Split horizon is enabled 
ICMP redirects are always sent 
ICMP unreachables are always sent 
ICMP mask replies are never sent 
IP fast switching is disabled 
IP fast switching on the same interface is disabled 
IP Flow switching is disabled 
IP Fast switching turbo vector 
IP multicast fast switching is disabled 
IP multicast distributed fast switching is disabled 
Router Discovery is disabled 
--More-— 


8.32 show ip interface 显示 结果 


显示 结果 表明 ,扩展 编号 ACL 100 被 应 用 到 fastethernet 0/0 入 站 方向 上 。 
show access- lists [acl for name] 
显示 ACL 中 特定 ACL 的 语句 ,如 图 8. 33 所 示 。 


show ip access- lists [acl for name] 


显示 ACL 中 只 想 查 看 用 于 IP 的 特定 ACL 的 语句 ,如 图 8.34 所 示 o 
show access-lists 显示 该 路 由 器 上 所 有 访问 控制 列表 信息 ,结果 如 图 8. 35 所 示 。 
命令 show access-lists 显示 路 由 器 上 所 有 协议 的 所 有 ACL。 如 果 只 想 查 看 用 于 IP 的 
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Rl$show access-lists 100 

Extended IP access list 100 
deny tcp 192.168.1.0 0.0.0.255 host 192.168.8.100 eq www (12 matchíes)) 
deny tcp 192.168.1.0 0.0.0.255 host 192.168.8.200 eq ftp 
deny icmp 192.168.1.0 0.0.0.255 host 192.1€8.3.100 (2 matchíes)) 
permit ip any any (4 match(es)) 

E 


图 8.33 显示 ACL 语句 


Rl$show ip access-lists 100 
Extended IP access list 100 


deny tcp 192.168.1.0 0.0.0.255 host 192.168.8.100 eq www (12 match(es)) 


deny tcp 192.168.1.0 0.0.0.255 host 192.168.8.200 eq ftp 
deny icmp 152.168.1.0 0.0.0.255 host 192.168.3.100 (2 match(es)) 
permit ip any any (4 matchíes)) 


图 8.34 显示 特定 ACL 的 语句 


Rl$show access-lists 

Extended IP access list 100 
deny tcp 192.168.1.0 0.0.0.255 host 192.168.8.100 eq www (12 match(es)) 
deny tcp 192.168.1.0 0.0.0.255 host 192.1€68.8.200 eq ftp 
deny icmp 192.168.1.0 0.0.0.255 host 192.168.3.100 (2 match(es)) 
permit ip any any (4 matchíes)) 

R1$ 


图 8.35 显示 路 由 器 上 所 有 访问 控制 列表 信息 


ACL, 可 以 使 用 下 面 命令 ,具体 如 图 8. 36 所 示 。 


show ip access- lists 


Rl$show ip access-lists 
Extended IP access list 100 
deny tcp 192.168.1.0 0.0.0.255 host 192.168.8.100 eq www (12 match(es)) 


deny tcp 192.168.1.0 0.0.0.255 host 192.168. eq ftp 
deny icmp 192.168.1.0 0.0.0.255 host 192.1€8.3.100 (2 match(es)) 
permit ip any any (4 match(es)) 


图 8.36 查看 用 于 IP HYJ ACL 


路 由 器 跟踪 每 一 条 语句 的 匹配 信息 。ACL100 中 的 第 一 条 语句 已 经 有 12 次 匹配 。 建 
议 将 deny ip any any 放 在 扩展 ACL 的 末尾 ,即使 隐 含 拒绝 语句 。 通 过 把 这 个 语句 放 在 
ACL 的 末尾 ,可 以 看 到 所 有 拒绝 流量 的 访问 量 。 因 为 隐 含 语句 是 不 可 见 的 ,所 以 无 法 看 到 
其 访问 量 。 

通过 下 面 的 语句 ,可 将 计数 器 清 零 。 

Rl# clear access- list counters 100 

清 零 后 的 显示 结果 如 图 8. 37 所 示 。 

8.7.6 ACL 放置 位 置 讨 论 


主要 有 两 个 方面 的 问题 : 四 决定 放置 在 哪 台 网 络 设备 上 ; @ 应 用 在 哪个 端口 上 。 
首先 ,不 能 滥用 ACL, 过 多 使 用 ACL 会 导致 故障 排除 难以 实现 。 
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Rl£show ip access-lists 100 


Extended IP access list 100 
deny tcp 192.168.1.0 0.0.0.255 host 192.168.8.100 eq www 
deny tcp 192.168.1.0 0.0.0.255 host 192.168.8.200 eq ftp 
deny icmp 192.168.1.0 0.0.0.255 host 192.168.3.100 
permit ip any any 


118.37 清 零 后 的 显示 结果 


其 次 ,限制 ACL 中 的 语句 数量 。 拥 有 上 百 条 规则 的 访问 控制 列表 很 难 进行 测试 和 故 
障 排除 。 

关于 ACL 放置 的 位 置 情况 ,有 以 下 两 条 规则 。 

CD 标准 ACL 应 尽 可 能 靠近 接收 站 设备 位 置 。 

@ 扩展 ACL 应 尽 可 能 靠近 发 送 站 设备 放置 。 

标准 ACL 应 该 尽量 靠近 想 要 阻止 发 送 站 到 达 的 接收 站 位 置 放置 。 因 为 标准 ACL 仅 
能 对 分 组 报头 中 的 源 TP 地 址 进行 过 滤 。 如 果 标 准 ACL 太 靠 近 发 送 站 ,有 可 能 同时 阻止 发 
送 站 对 网 络 中 其 他 有 效 服 务 的 访问 。 把 标准 ACL 尽量 靠近 接收 站 放置 ,在 限制 了 发 送 站 
访问 远程 接收 站 设备 的 同时 ,允许 发 送 站 访问 其 他 资源 。 

如 果 不 想 让 分 组 穿越 几乎 整个 网 络 之 后 才 被 丢弃 ,更 好 的 办 法 是 把 扩展 ACL 尽量 靠 
近 发 送 站 放置 。 但 是 ,对 于 标准 ACL, 这 又 会 阻止 用 户 访问 网 络 上 的 大 多 数 资源 。 

推荐 把 扩展 ACL 放置 到 尽 可 能 靠近 发 送 站 的 位 置 ,这 样 可 以 防止 不 想 要 的 流量 穿越 
网 络 。 由 于 扩展 ACL 具有 基于 源 和 目的 地 址 进行 过 滤 能 力 ,使 用 它 可 以 阻止 发 送 站 访问 
特定 的 接收 站 ,同时 又 允许 对 其 他 资源 进行 访问 。 


8.8 交换 机 端口 安全 技术 


网 络 安全 涉及 方方面面 。 从 交换 机 来 说 ,首先 要 保证 交换 机 端口 的 安全 。 在 企 事 业 单 
位 网 络 中 ,员工 随意 使 用 集线器 等 工具 将 一 个 上 网 端口 增 至 多 个 ,或 者 使 用 外 来 计算 机 (如 
自己 的 笔记 本 电脑 ) 连 接 到 单位 网 络 中 ,会 给 单位 的 网 络 安全 带 来 不 利 的 影响 。 

在 思科 交换 机 端口 配置 中 通常 采用 设置 端口 连接 数 的 最 大 值 , 以 及 对 计算 机 端口 连接 
主机 的 MAC 地 址 进行 绑 定 , 加 强 交 换 机 安全 性 。 下 面 分 别 探讨 这 两 种 加 强 交 换 机 安全 的 
方法 。 

1. 设置 端口 最 大 连接 数 

交换 机 端口 安全 中 往往 涉及 对 计算 机 端口 可 连接 的 主机 数 进行 限制 ,以 防止 计算 机 端 
口 连接 过 多 的 主机 导致 网 络 性 能 下 降 。 如 图 8. 38 所 示 ,两 台 交 换 机 和 一 台 集 线 器 连接 4 台 
计算 机 ,要 求 : 交换 机 Switch0 端口 Fa0/1 至 多 连接 两 台 计 算 机 , 当 连 接 的 计算 机 数量 超过 
两 台 时 ,计算 机 端口 Fa0/1 自动 关闭 。 


switch0 (config)#hostname Switch0 // 为 交换 机 命名 
Switch0 (config)# interface fastEthernet 0/1 // 进 入 交换 机 Fa0/1 端口 
Switch0 (config- if)# switchport mode access // 配 置 交 换 机 端口 模式 Access 


Switch0 (config- if)# switchport port- security  // 开 启 交 换 机 端口 安全 
Switch0 (config- if)# switchport port- security violation ? 
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protect ^ Security violation protect mode 
restrict Security violation restrict mode 


shutdown Security violation shutdown mode // 定 义 端口 违规 模式 


Fa0/1// 2960-24TT — 2960-24TT 


à - Fa0/1 
Switchl Switch. 


192.168.1.5/24 
MAC 地 址 为 : 0060.707E.D9A4 


PC-PT PC-PT PC-PT 
PCO PCI v 
192.168.1.2/24 192.168.1.3/24 — 192.168.1.4/24 


图 8.38 设置 端口 最 大 连接 数 网 络 拓扑 图 


3 种 违规 模式 的 说 明 分 别 如 下 。 

protect 模式 : 当 违规 时 ,只 丢弃 违规 的 数据 流量 ,不 违规 的 正常 转发 ,而 且 不 会 通知 有 
流量 违规 ,也 就 是 不 会 发 送 SNMP trap. 

restrict 模式 : 当 违 规 时 ,只 丢弃 违规 的 流量 ,不 违规 的 正常 转发 ,但 它 会 产生 流量 违规 
通知 ,发 送 SNMP trap, 并 且 会 记录 日 志 。 

shutdown 模式 : 默认 模式 , 当 违规 时 ,将 端口 变 成 error-disabled 且 将 端口 关 掉 ,并 且 
端口 LED 灯会 关闭 ,也 会 发 SNMP trap, 并 会 记录 syslog。 

不 做 具体 配置 时 ,默认 采用 shutdown 模式 。 

Switch0 (config- if)# switchport port- security maximum 2 // 将 端口 的 最 大 连接 数 设置 为 2 

Switch0 (config- if)# 

当 终 端 计算 机 配置 上 如 图 8. 38 所 示 的 网 络 参 数 时 ,可 以 发 现 交换 机 Switch0 端口 
Fa0/1 自动 变 为 shutdown 状态 ,具体 如 图 8. 39 所 示 。 

可 以 看 出 ,交换 机 Switch0 端口 Fa0/1 连接 的 主机 数 大 于 两 台 时 ,交换 机 端口 自动 
关 掉 。 

2. 交换 机 端口 地 址 绑 定 

在 设置 交换 机 端口 安全 时 ,往往 需要 对 交换 机 端口 连接 的 终端 计算 机 进行 限制 , 即 只 多 
许 某 台 计 算 机 通过 该 端口 联 入 网 络 ,不 允许 其 他 计算 机 通过 该 端口 联 入 网 络 。 

思科 交换 机 端口 安全 地 址 绑 定 配置 方式 通常 有 两 种 : 一 种 是 静态 手动 一 对 一 绑 定 ; 另 
一 种 是 通过 sticky( 黏 性 ) 绑 定 。 黏 性 可 靠 的 MAC 地 址 会 自动 学 习 第 一 次 接 人 的 MAC 地 
址 ,然后 将 这 个 MAC 地 址 绑 定 为 静态 可 靠 的 地 址 。 

首先 探讨 静态 手动 一 对 一 绑 定 方式 .如 图 8. 38 所 示 ,要 求 交 换 机 Switchl 的 端口 Fa0/1 
只 能 连接 计算 机 PC3 ,不 能 连接 其 他 计算 机 .如 果 连 接 其 他 计算 机 , 则 交换 机 端口 自动 关 
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2960-24TT 2960-24TT 
Switchl Switch0 


Fa0/1 


PC-PT 
PC3 
192.168.1.5/24 
MAC 地 址 为 : 0060.707E.D9A4 


PC-PT PC-PT PC-PT 
CO PC2 
192.168.1.2/24  192.168.1.3/24 192.168.1.4/24 
图 8.39 超过 网 络 最 大 连接 数 时 交换 机 Switch 端口 Fa0/1 的 变化 情况 


掉 。 要 完成 该 实验 ,首先 将 刚 配 置 的 设置 端口 最 大 连接 数 去 掉 , 将 整个 网 络 恢复 到 正常 状 
态 。 具 体 配置 如 下 。 


Switch0 (config- if)# no switchport port- security maximum 2 

Switch0 (config- if)# shutdown 

$% LINK- 5- CHANGED: Interface FastEthernet0/1l, changed state to administratively down 
Switch0 (config- if)#no shu 

Switch0 (config- if)$ 

$% LINK- 5- CHANGED: Interface FastEthernet0/1，changed state to up 

$ LINEPROTO- 5- UPDOWN: Line protocol on Interface FastEthernet0/1l, changed state to up 


将 终端 计算 机 PC3 的 MAC 地 址 0060, 707 E. D9A4 与 交换 机 Switchl 端口 Fa0/1 进行 


绑 定 , 即 交换 机 的 这 个 端口 只 能 连接 该 计算 机 ,不 能 连接 其 他 计算 机 。 


具体 配置 过 程 如 下 。 

Switch (config)# interface fastEthernet 0/1 // 进 入 交换 机 的 Fao/1 端口 
Switch (config- if)# switchport mode access // 设 置 端口 模式 为 access 
Switch (config- if)# switchport port- security // 开 启 交 换 机 端口 安全 性 
Switch (config- if)# switchport port- security mac- address 0060.707E.D9A4 


// 静 态 地 址 绑 定 
配置 的 结果 是 交换 机 Switchl 的 端口 Fa0/1 与 计算 机 PC3 绑 定 ,意味 着 该 端口 只 能 连 


接 计算 机 PC3 ,不 能 连接 其 他 终端 计算 机 ,为 了 验证 效果 ,将 计算 机 PC3 换 一 台 计 算 机 连 
接 ,结果 如 图 8. 40 所 示 。 


实验 结果 表明 , 当 连 接 其 他 计算 机 时 ,交换 机 Switchl 的 端口 Fa0/1 立即 处 于 


shutdown 状态 。 


其 次 探讨 通过 sticky( 黏 性 ) 绑 定 , 黏 性 可 靠 的 MAC 地 址 会 自动 学 习 第 一 次 接 人 的 


MAC 地 址 ,然后 将 这 个 MAC 地 址 绑 定 为 静态 可 靠 的 地 址 ,具体 网 络 拓扑 图 如 图 8. 41 所 示 。 


将 交换 机 Switch3 端口 地 址 绑 定 配置 为 sticky, 初 始 状态 下 ,交换 机 Fa0/1、Fa0/2 以 及 
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2960-24TT 2960-24TT X Fa0/1 


00E0.8F7C.6942 Switch1 Switch0 
192.168.1.6/24 
HUB-PT 
HUB0 
PC-PT 
PC6 
192.168.1.5/24 m 
MAC 地 址 为 : 0060.707E.D9A4 
Te PC-PT PC-PT PC-PT 
PC0 PCI PC2 


192.168.1.2/24 — 192.168.1.3/24— 192.168.1.4/24 
图 8.40 将 交换 机 Switchl 的 端口 Fa0/1 连接 其 他 计算 机 情况 


2960-24TT 
Switch3 


Fa0/3 


PC-PT PC-PT PC-PT 


C: C. PC4 PC5 PC6 
192.168.1.2/24 — 192.168.1.3/24 — 192.168.1.4/24 192.168.1.5/24 192.168.1.6/24  192.168.1.7/24 
0050.0F33.7A8D |.0002.1757.28A8 00E0.A3B5.4099 


图 8.41 交换 机 端口 黏 性 绑 定 网 络 拓扑 图 


Fa0/3 分 别 连接 计算 机 PCI,PC2 以 及 PC3。 交 换 机 这 3 个 端口 分 别 与 这 3 台 计 算 机 的 
MAC 地 址 进行 绑 定 。 验 证 将 PC4、PC5 以 及 PC6 这 3 台 计 算 机 连接 交换 机 Fa0/1、Fa0/2 
以 及 Fa0/3。 查 看 实验 效果 。 先 按照 图 8. 41 ,为 每 台 终 端 计算 机 配置 网 络 地 址 。 交 换 机 的 
具体 配置 过 程 如 下 。 


Switch (config)#hostname Switch3 

Switch3 (config)# interface range fastEthernet 0/1 -3 

Switch3 (config- if- range)# switchport mode access 

Switch3 (config- if- range)# switchport port- security 

Switch3 (config- if- range) # switchport port- security maximum 1 

Switch3 (config- if- range) # switchport port- security mac- address sticky 
Switch3 (config- if- range) # 


通过 show run 命令 可 以 查看 端口 绑 定 情况 。 
Switch3# show run 


Building configuration... 
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Current configuration : 1514 bytes 

1 

version 12.2 

no service timestamps log datetime msec 

no service timestamps debug datetime msec 

no service password- encryption 

1 

hostname Switch3 

1 

1 

! 

! 

! 

spanning- tree mode pvst 

I 

interface FastEthernet0/1 

switchport mode access 

switchport port- security 

switchport port- security mac- address sticky 
switchport port- security mac- address sticky 0050.0F33.7A8D 
! 

interface FastEthernet0/2 

switchport mode access 

switchport port- security 

switchport port- security mac- address sticky 
switchport port- security mac- address sticky 0002.1757.28A8 
! 

interface FastEthernet0/3 

switchport mode access 

switchport port- security 

switchport port- security mac- address sticky 
switchport port- security mac- address sticky 00E0.A3B5.4099 
1 


interface FastEthernet0/4 


可 以 看 出 ,交换 机 端口 Fa0/1、Fa0/2 以 及 Fa0/3 分 别 绑 定 了 计算 机 PCI, PC2 以 及 
PC3。 将 交换 机 Fa0/1、Fa0/2 以 及 Fa0/3 分 别 连接 计算 机 PC4、PC5 以 及 PC6 , 当 这 3 台 计 
算 机 有 访问 需求 时 ,交换 机 端口 状态 变 为 shutdown, 如 图 8. 42 所 示 。 

8.9 ”本章 小 结 
本 章 首先 介绍 了 访问 控制 列表 的 基本 概念 ,分析 了 访问 控制 列表 的 具体 分 类 ,分 为 编号 
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2960-24TT, 


Switch3 
Fa0/1 
Fa0/3 
Fa0/2 
PC-PT PC-PT i PC-PT PC-PT PC-PT PC-PT 
PCI PC2 


C 2 PC3 PC4 PCS PC6 
192.168.1.2/24 — 192.168.1.3/24 — 192.168.1.4/24 192.168.1.5/24 192.168.1.6/24 192.168.1.7/24 
0050.0F33.7A8D 0002.1757.28A8 00E0.A3B5.4099 


图 8.42 PC4、PC5 以 及 PC6 连接 交换 机 Fa0/1, Fa0/2 以 及 Fa0/3 的 情况 


访问 控制 列表 和 命名 访问 控制 列表 或 者 标准 访问 控制 列表 和 扩展 访问 控制 列表 。 接 着 分 析 
了 访问 控制 列表 的 工作 原理 。 

本 童 详 细 探讨 了 基于 路 由 器 的 标准 编号 访问 控制 列表 配置 过 程 ,以 及 扩展 编号 访问 控 
制 列表 配置 过 程 ,并 详细 讲解 了 命名 访问 控制 列表 配置 过 程 ,同时 讲解 了 基于 三 层 交换 机 的 
扩展 编号 访问 控制 列表 配置 全 过 程 。 

本 章 探讨 了 访问 控制 列表 注释 功能 、 多 种 查看 及 验证 访问 控制 列表 命令 并 对 ACL 放 
置 位 置 进行 了 讨论 。 

本 音 最 后 探讨 了 交换 机 端口 安全 ,分 别 探讨 了 端口 最 大 连接 数 安全 以 及 端口 地 址 绑 定 
安全 ,并 通过 实验 进行 了 验证 。 


8.10 习题 


简 答题 

1. 什么 是 访问 控制 列表 ? 

2. 简 述 访问 控制 列表 的 具体 分 类 。 

3. 简 述 访问 控制 列表 的 工作 原理 。 

操作 题 

. 通过 实验 实现 基于 路 由 器 的 标准 编号 访问 控制 列表 配置 过 程 。 
. 通过 实验 实现 基于 路 由 器 的 扩展 编号 访问 控制 列表 配置 过 程 。 
. 通过 实验 实现 基于 路 由 器 的 命名 访问 控制 列表 配置 过 程 。 

. 通过 实验 实现 基于 三 层 交换 机 的 标准 编号 访问 控制 列表 配置 过 程 。 
. 通过 实验 实现 基于 三 层 交 换 机 的 扩展 访问 控制 列表 配置 过 程 。 
. 通过 实验 实现 基于 三 层 交换 机 的 命名 访问 控制 列表 配置 过 程 。 
. 通过 实验 实现 交换 机 最 大 端口 数 安全 的 配置 过 程 。 

. 通过 实验 实现 交换 机 端口 地 址 绑 定 实验 配置 过 程 。 
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第 9 网 络 地 址 转换 技术 


本 章 学 习 目 标 

。 掌握 网 络 地 址 转换 (NAT) 的 概念 

。 了 解 网 络 地 址 转换 产生 的 背景 

。 熟悉 网 络 地 址 转换 分 类 

。 掌握 各 种 类 型 网 络 地 址 转换 的 配置 过 程 


本 章 首 先 介绍 网 络 地 址 转换 的 基本 概念 ,分析 网 络 地 址 转换 产生 的 原因 ,讲解 网 络 地 址 
转换 的 具体 分 类 ,接着 详细 讲解 各 种 网 络 地址 转换 的 配置 过 程 。 


9.1 网 络 地 址 转换 概述 


9.1.1 概念 


网 络 地 址 转换 (Network Address Translation .NAT) 是 使 用 私有 地 址 的 内 部 网 络 连接 
到 Internet 或 其 他 IP 网 络 的 方式 。NAT 路 由 在 将 内 部 网 络 的 数据 包 发 送 到 公用 网 络 时 ， 
在 IP 包 的 报头 把 私有 地 址 转换 成 合法 的 公 网 TP 地 址 。 


9.1.2. IP 地 址 耗 尽情 况 介绍 


目前 广泛 使 用 的 IP 地 址 为 IPv4, 它 由 32 位 二 进 制 数 组 成 。 理 论 上 讲 ,IPv4 可 分 配 的 
IP 地 址 数 达 到 2°, B 4 294 967 296 个 ,从 当时 的 网 络 规模 看 ,这 么 庞大 的 地 址 数量 在 短 时 
间 内 不 可 能 分 配 完 。20 世纪 90 年 代 以 来 ,因特网 呈现 爆炸 式 增长 ,人 们 对 IP. 地 址 的 需求 
越 来 越 多 。 加 上 TP 地 址 分 配 自身 的 特点 , 即 分 配 网 络 号 ,而 不 是 分 配 具 体 的 IP 地 址 。 这 样 
导致 的 结果 是 : 如 果 不 采 取 措 施 ,IP 地 址 数量 将 很 快 耗 尽 。 

为 了 解决 IPv4 地 址 耗 尽 带 来 的 问题 ,提出 了 一 个 长 期 的 解决 方案 ,该 解决 方案 是 采用 
新 的 寻 址 格式 , 即 IPv6。IPv6 由 128 位 二 进 制 组 成 ,IPv6 地 址 数量 理论 上 讲 是 目前 使 用 的 
IPv4 地 址 数量 的 28 倍 。 将 全 球 的 IP 地 址 由 IPv4 升级 为 IPv6 不 是 一 朝 一 夕 就 能 完成 的 ， 
需要 长 期 的 过 渡 过 程 。 

为 了 缓解 IPv4 地 址 缺乏 问题 ,目前 采用 了 一 些 措施 ,如 可 变 长 子 网 掩 码 (VLSM) 无 类 
域 间 路 由 选择 CCIDR) 以 及 网 络 地 址 转换 (NAT) 技 术 等 。 


9.1.3 私有 地 址 


BE Internet 规模 的 不 断 扩 大 ,对 TP 地 址 的 需求 也 极速 增长 ,导致 IP 地 址 短缺 问题 越 
来 越 严重 。 由 因特网 工程 任务 组 (IETF) 创 建 的 RFC1918 是 一 份 用 来 解决 IP. 地 址 短缺 问 
题 的 文档 。 该 文档 明确 ,为 了 满足 不 同 规模 网 络 的 需求 ,在 A,B,C 类 地 址 中 分 别 拿 出 一 部 
分 地 址 作为 私有 地 址 。 私 有 地 址 的 特点 是 : CD 不 需要 申请 ,不 同 的 单位 内 部 可 以 重复 使 
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用 ,大 大 方便 了 单位 内 部 计算 机 联网 问题 。@ 私 有 地 址 不 可 以 在 Internet. 上 路 由 ,不 可 以 直 
接 访 问 Internet。 为 了 解决 配置 私有 地 址 联网 的 内 部 计算 机 访问 Internet, 需 要 使 用 NAT 
TOR ,将 内 部 不 能 访问 Internet 的 私有 地 址 转换 成 可 以 访问 Internet 的 公 网 地 址 。 公 网 地 
址 可 以 在 Internet. 上 路 由 ,可 以 访问 Internet 网 络 。 
RFC 1918 定义 的 私有 地 址 范围 见 表 9. 1。 
表 9.1 RFC 1918 定义 的 私有 地 址 范围 
地 址 范围 
10. 0. 0. 0—10. 255. 255. 255 


172. 16. 0. 0 一 172. 31. 255. 255 


ajw]| >| $ 


192. 168. 0. 0— 192. 168. 255. 255 


从 表 9. 1 中 可 以 看 出 ,私有 地 址 范围 共有 1 个 A 类 ,16 个 B 类 和 256 个 C 类 。 其 中 ,和 A 
类 网 络 适 合 超大 规模 公司 内 部 使 用 ,B 类 网 络 适合 大 规模 公司 内 部 使 用 ,C 类 网 络 适合 小 规 
模 单位 内 部 使 用 。 当 然 , 这 只 是 习惯 而 已 ,并 不 是 硬 行规 定 。 也 就 是 说 ,内 部 私有 地 址 的 配 
置 过 程 中 ,即使 是 小 规模 的 网 络 ,也 可 以 使 用 A 类 地 址 。 由 于 不 同 的 单位 可 以 重复 使 用 这 
些 地 址 ,所 以 不 存在 地 址 浪费 问题 。 
大 家 平时 接触 到 的 校园 网 、 企 业 网 以 及 网 吧 等 局 域 网 中 ,看 到 的 地 址 往往 是 表 9. 1 列 出 
的 地 址 范围 ,也 就 是 科 有 地 址 。 在 不 同 单位 看 到 相同 的 私有 地 址 配置 也 不 足 为 怪 了 。 


9.2 ”地址 转换 


9.2.1 概述 


由 于 私有 地 址 不 可 以 在 Internet. 上 路 由 ,所 以 拥有 私有 地 址 的 计算 机 向 ISP 发 送 访问 
Internet 网 络 请 求 时 ISP 将 会 过 滤 它 们 。 为 了 解决 拥有 私有 地 址 计算 机 访问 Internet 网 络 
的 问题 ,采用 NAT 技术 。 标 准 RFC 1631 就 是 为 了 解决 该 问题 而 提出 的 , 它 定 义 了 一 个 称 
为 网 络 地 址 转换 的 过 程 ,允许 将 分 组 中 的 IP 地 址 转换 成 一 个 不 同 的 地 址 。 由 于 公 网 IP 地 
址 才 可 以 在 Internet. 上 路 由 , 才 可 以 访问 Internet 网 络 , 因 此 计算 机 访问 Internet 网 络 需要 
使 用 公 网 地 址 。 网 络 地 址 转换 能 够 实现 将 内 部 的 私有 地 址 转换 成 公 网 地 址 在 Internet. 上 路 
由 ,从 而 达到 访问 Internet 的 目的 。 

可 以 执行 网 络 地 址 转换 的 设备 有 路 由 器 、 防 火 墙 ` 服 务 器 等 。 这 些 设备 往往 存在 于 网 络 
的 边缘 ,如 内 部 网 与 Internet 网 络 的 连接 处 。 

注意 ,RFC 1631 并 没有 指定 用 来 转换 的 地 址 必须 是 私有 地 址 , 它 可 以 是 任何 地 址 。 


9.2.2 网 络 地 址 转换 类 型 


常见 的 网 络 地址 转换 类 型 有 NAT 和 PAT。NAT 转换 后 ,将 一 个 内 部 本 地 TP 地 址 对 
应 一 个 内 部 全 局 IP 地 址 。PAT 转换 后 ,将 多 个 内 部 本 地 地 址 转换 到 内 部 全 局 地 址 的 一 对 
多 转换 ,通过 端口 号 确定 其 多 个 内 部 主机 的 唯一 性 。 

NAT 和 PAT 常见 的 术语 见 表 9. 2。 
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59.2 NAT 和 PAT 常见 的 术语 


术语 类 型 术语 含义 
Inside 需要 转换 成 公 网 地 址 的 内 部 网 络 
Outside 使 用 公 网 地 址 进行 通信 的 外 部 网 络 


Inside Local Address 


内 部 本 地 地 址 ,内 部 网 络 使 用 的 地 址 ,一 般 为 私有 地 址 


Inside Global Address 


内 部 全 局 地 址 ,用 来 代表 内 部 本 地 地 址 ,一 般 为 ISP 提供 的 合法 地 址 


Outside Local Address 


外 部 本 地 地 址 


Outside global address 


外 部 全 局 地 址 ,数据 在 外 部 网 络 使 用 的 地 址 ,是 一 个 合法 地 址 


常见 的 NAT 和 PAT 配置 各 有 两 种 类 型 : 静态 NAT 和 动态 NAT 以 及 静态 PAT 和 动 


态 PAT。 


静态 NAT 和 静态 PAT 的 适用 场合 为 : 

CD 存在 内 部 需要 向 外 网 络 提供 信息 服务 的 主机 。 

© 内 部 主机 需要 永久 的 一 对 一 TP 地 址 映射 关系 。 

动态 NAT 和 动态 PAT 的 适用 场合 为 : 

D 内 网 计算 机 只 需要 访问 外 网 服务 ,不 需要 对 外 提供 信息 服务 。 
© 内 部 主机 数 大 于 全 局 IP 地 址 数 。 


9.3 静态 NAT 


9.3.1 概述 


静态 转换 是 指 将 内 部 网 络 的 私有 IP 地 址 转换 为 公有 TP 地 址 ,IP 地 址 对 是 一 对 一 的 ， 
是 一 成 不 变 的 , 某 个 私有 TP 地 址 只 转换 为 某 个 公 网 IP 地 址 。 借 助 静态 转换 ,可 以 实现 外 部 
网 络 对 内 部 网 络 中 某 些 特定 设备 (如 服务 器 ) 的 访问 。 


9.3.2 ”静态 NAT 配置 过 程 
(1) 定义 内 网 端口 和 外 网 端口 。 


Router (config)# interface fastethernet 0 


Router (config- if)#ip nat outside 


Router (config)# interface fastethernet 1 


Router (config-if)fip nat inside 


(2) 建立 静态 的 映射 关系 。 


Router (config)# ip nat inside source static 192.168.1.7 200.8.7.3 


其 中 192. 168. 1. 7 为 内 部 本 地 地 址 ,200. 8. 7. 3 为 内 部 全 局 地 址 。 
9.3.3 静态 NAT 配置 案例 
如 图 9. 1 所 示 ,模拟 校园 网 访问 Internet 网 络 的 情况 ,为 了 测试 网 络 连 通 性 ,在 Internet 


$99 网 络 地 址 转换 技术 


上 有 一 台 提 供 Web 服务 的 机 器 。 各 设备 的 地 址 配置 情况 见 表 9. 3。 


LAN | Internet 
校园 网 出 口 路 由 S0/0/0 电信 路 由 器 
校园 局 61.177.10/0/29 f 
Fa0/0 Fa0/0 
o E 2.10. 
192.168.1.1 2811 DCE 2811*. 202.10; 10.1/24 
RI R2 
1 
192.168.1.0/24 | 
1 
1 
2960-24TT 
Switcht 
Server-PT 
Web-Server 
202.102.10.100/24 
PC-PT PC-PT PC-PT PC-PT 
PCI PC2 PC3 PC4 
192.168.1.10/24 192.168.1.20/24 192.168.1.30/24 — 192.168.1.40/24 


图 9.1 静态 NAT 配置 实验 拓扑 图 


表 9.3 各 设备 的 地 址 配置 情况 


设 备 端口 IP 3b hk TOW dg 
S0/0/0 61. 177. 10. 1 255. 255. 255. 248 

" Fa0/0 192.168.1.1 255. 255. 255. 0 
S0/0/0 61. 177. 10.2 255. 255. 255. 248 

" Fa0/0 202. 102. 10. 1 255. 255. 255. 0 

PCI 网 卡 192. 168. 1. 10 255. 255. 255. 0 

PC2 网 卡 192. 168. 1. 20 255.255.255.0 

PC3 网 卡 192. 168. 1. 30 255. 255. 255. 0 

PC4 网 卡 192. 168. 1. 40 255. 255. 255. 0 

Web-Server 网 卡 202. 102. 10. 100 255. 255. 255.0 


配置 静态 NAT, 使 得 内 部 计算 机 能 够 访问 因特网 。 在 配置 具体 NAT 前 ,首先 完成 基 
本 配置 ,要 求 内 部 计算 机 能 够 ping 通 网 关 , 外 部 服务 器 能 够 ping 通 校园 网 出 口 路 由 器 连接 
外 网 端口 。 这 部 分 配置 具体 如 下 。 

配置 校园 网 出 口 路 由 器 R1, 基 本 配置 如 下 。 


Router (config)#hostname R1 

R1 (config)# interface fastEthernet 0/0 

R1 (config- if)# ip address 192.168.1.1 255.255.255.0 
R1 (config- if)# no shu 


// 为 路 由 器 命名 

// 进 入 路 由 器 端口 Fa0/0 

// 为 路 由 器 端口 配置 IP 地 址 
// 激 活 

// 退 出 

// 进 入 端口 S0/0/0 

// 为 端口 配置 IP 地 址 

// 配 置 时 钟 频率 


R1 (config-if)fexit 

R1 (config) interface serial 0/0/0 

R1 (config-if)fip address 61.177.10.1 255.255.255.248 
R1 (config-if)f clock rate 64000 
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配置 电信 路 由 器 R2, 基 本 配置 如 下 。 


Router (config)# hostname R2 // 为 路 由 器 命名 

R2 (config)# interface fastEthernet 0/0 // 进 入 路 由 器 端口 Fa0/0 
R2 (config- if)# ip address 202.102.10.1 255.255.255.0 // 为 端口 配置 IT 地 址 
R2 (config- if)# no shu // 激 活 

R2 (config-if)fexit // 退 出 

R2 (config)# interface serial 0/0/0 // 进 入 端口 S0/0/0 

R2 (config-if)fip address 61.177.10.2 255.255.255.248 // 为 端口 配置 IP 地 址 

R2 (config- if)# no shu // 激 活 


在 校园 网 出 口 路 由 器 上 配置 指向 互联 网 的 默认 网 关 , 具 体 配置 如 下 。 
R1 (config)# ip route 0.0.0.0 0.0.0.0 61.177.10.2 


配置 互联 网 Web-Server 网 络 参 数 ,如 图 9.2 所 示 。 


Physical Config Desktop 


IP Configuration 


IP Address 202.102.10.100 


Subnet Mask [255.255.255.0 


Default Gateway 202.102.10.1 


图 9.2 Web-Server 网 络 参数 配置 


测试 Web-Server 与 校园 网 出 口 路 由 器 S0/0/0 端口 的 连通 性 情况 ,如 图 9. 3 所 示 。 


Physical Config Desktop 


Command Prompt 


图 9.3 Web-Server 与 路 由 器 出 口 连通 性 测试 
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RP 
测试 校园 网 出 口 路 由 器 与 Internet Web-Server 的 连通 性 情况 ,结果 如 图 9. 4 所 示 , 表 
明 是 连通 的 。 


iOS Command Line Interface 


Rl#ping 202.102.10.100 


Type escape sequence to abort. 


Sending 5, 100-byte ICMP Echos to 202.102.10.100, timeout is 2 seconds: 
"rrr 


Success rate is 100 percent (5/5), round-trip min/avg/max = 7/41/63 ms 


图 9.4 校园 网 出 口 路 由 器 与 Internet Web-Server 连通 性 测试 


配置 校园 网 内 部 4 台 计 算 机 的 网 络 参数 。 图 9. 5 所 示 为 PCI 的 配置 情况 ,其 他 3 台 计 
算 机 的 配置 类 似 。 


Physical Config Desktop 
IP Configuration 


O DHCP 
(9 Static 


IP Address 192.168.1.10 
Subnet Mask 255.255.255.0 


Default Gateway 192.168.1.1] 


图 9.5 PC1 网 络 参数 配置 情况 


测试 终端 计算 机 与 网 关 的 连通 性 ,结果 是 联通 的 ,如 图 9.6 所 示 。 
校园 网 的 出 口 路 由 器 上 若 没有 配置 NAT, 则 校园 网 内 部 计算 机 是 不 可 以 访问 Internet 
上 的 Web-Server 的 Web 站 点 的 。 访 问 结果 如 图 9.7 所 示 。 


在 校园 网 的 出 口 路 由 器 上 配置 NAT, 实 现 校园 网 内 部 计算 机 访问 Internet 的 目的 。 静 
态 NAT 的 配置 过 程 如 下 。 


(1) 定义 内 网 端口 和 外 网 端口 。 


R1 (config)# interface fastEthernet 0/0 // 进 入 路 由 器 端口 Fa0/0 
Rl(config-if)fip nat inside // 宣 告 连接 内 部 网 络 
Rl(config-if)fexit // 退 出 

R1 (config)# interface serial 0/0/0 // 进 入 路 由 器 端口 s0/0/0 
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4 Pc 


Physical Config Desktop 


Command Prompt 


图 9.6 计算 机 与 网 关连 通 性 测试 情况 


«& Pct 一 口 X 
Physical Config Desktop 


Web Browser 


€ > | URL [http://202. 102. 10. 100 | Go Stop 


Request Tineout 


图 9.7 内 部 计算 机 访问 Web-Server 情况 


R1 (config- if)# ip nat outside // 宣 告 连接 外 部 网 络 
Rl (config- if)#exit // 退 出 


(2) 建立 映射 关系 
Rl(config)f ip nat inside source static 192.168.1.10 61.177.10.1 // 建 立 映射 关系 


C3) 测试 网 络 连通 性 。 
在 内 部 IP 地 址 为 192. 168. 1. 10 的 计算 机 上 测试 访问 Internet 情况 ,具体 如 图 9. 8 所 
结果 表明 ,内 部 IP 地 址 为 192. 168. 1. 10 的 计算 机 是 可 以 访问 Internet 网 络 的 ,说 明 静 
态 访问 控制 列表 发 挥 了 作用 

(4) 通过 命令 show ip nat translations 查看 具体 转换 情况 ,如 图 9.9 所 示 。 

从 图 9.9 中 可 以 看 出 ,内 部 本 地 地 址 为 192. 168. 1. 10, 属 于 不 能 在 Internet 网 络 上 路 
由 的 私有 地 址 ,内 部 全 局 地 址 为 61. 177. 10. 1, 属 于 可 以 在 Internet 网 络 上 路 由 的 公 网 
地 址 。 


示 
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Physical Config Desktop 


< > | URL |http: //202. 102. 10. 100 Go Stop 


Cisco Packet Tracer 


Welcome to Cisco Packet Tracer. Opening doors to new opportunities. Mind Wide Open. 
Quick Links: 
A small page. 


Copvrizhts 
Image Page 


Image 


图 9.8 内 部 计算 机 访问 Web-Server 情况 


Physical Config CU 


IOS Command Line Interface 


RIS ^ 
Rl$show ip nat translations 

Pro Inside global Inside local Outside local Outside global 

---  61.177.10.1 192.168.1.10 — A 


tcp 61.177.10.1:1026 —192.1€8.1.10:102€ 202.102.10.100:80 202.102.10.100:80 


图 9.9 地 址 转换 情况 


9.4 动态 NAT 


9.4.1 动态 NAT 概 述 


动态 NAT 是 指 将 内 部 网 络 的 私有 TP 地 址 转换 为 公 网 TP 地 址 时 ,IP 地 址 对 是 随机 的 ， 
是 不 确定 的 ,所 有 被 授权 访问 Internet 的 私有 IP 地 址 都 可 随机 转换 为 任何 指定 的 合法 IP 
地 址 。 也 就 是 说 ,只 要 指定 哪些 内 部 地 址 可 以 进行 转换 ,以 及 用 哪些 合法 地 址 作为 外 部 地 址 
时 ,就 可 以 进行 动态 转换 。 
9.4.2 动态 NAT 配置 

动态 NAT 配置 的 过 程 如 下 。 

(1) 定义 内 网 端口 和 外 网 端口 。 


Router (config- if)# ip nat outside // 宣 告 连接 外 网 端口 
Router (config- if)# ip nat inside // 宣 告 连接 内 网 端口 


(2) 定义 内 部 本 地 地 址 范围 。 
Router (config)# access- list 10 permit 192.168.1.0 0.0.0.255 


其 中 192. 168. 1. 0/24 为 内 部 地 址 范围 。 
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9.4.3 


(3) 定义 内 部 全 局 地 址 池 。 


Router (config)# ip nat pool abc 200.8.7.3 200.8.7.10 netmask 255.255.255.0 


其 中 200. 8. 7. 3— 200. 8. 7. 10 为 内 部 全 局 地 址 范围 。 


(4) 建立 映射 关系 。 


Router (config)# ip nat inside source list 10 pool abc 


动态 NAT 配置 案例 


图 9. 1 所 示 为 模拟 校园 网 访问 Internet 网 络 的 情况 。 配 置 动 态 NAT, 从 而 实现 内 部 计 


算 机 访问 Internet 网 络 ,各 设备 的 地 址 配置 情况 见 表 9. 3。 
(1) 清除 已 经 配置 的 静态 NAT 配置 。 
R1 (config)#no ip nat inside source static 192.168.1.10 61.177.10.1 


Rl (config)f interface fastEthernet 0/0 
R1 (config- if)# no ip nat inside 


Rl(config-if)fexit 


R1 (config)f interface serial 0/0/0 
R1 (config- if)# no ip nat outside 


// 清 除 静 态 NAT 配置 
// 进 入 路 由 器 Fa0/0 
// 清 除 宣告 内 网 端口 
// 退 出 

// 进 入 端口 s0/0/0 
// 清 除 宣告 外 网 端口 


(2) 默认 基本 配置 已 经 完成 ,包括 四 基本 IP 地 址 配置 ; 四 内 部 计算 机 ping 通 网 关 , 外 


部 Web-Server ping 通 校园 网 出 口 路 由 器 连接 外 网 的 端口 。 
(3) 配置 路 由 器 R1 ,宣告 连接 内 网 端口 以 及 连接 外 网 端口 。 


R1 (config)# interface fastEthernet 0/0 
Rl(config-if)fip nat inside 


Rl(config-if)fexit 


R1(config)f interface serial 0/0/0 
Rl(config- if)fip nat outside 


Rl(config-if)fexit 


定义 内 部 本 地 地 址 范围 。 
R1 (config)# access- list 1 permit any 


定义 内 部 全 局 地 址 池 。 


// 进 入 路 由 器 端口 Fa0/0 


// 宣 告 内 网 端口 
// 退 出 

// 进 入 端口 s0/0/0 
// 宣 告 外 网 端口 
// 退 出 


R1 (config)# ip nat pool tdp 61.177.10.3 61.177.10.5 netmask 255.255.255.248 


建立 映射 关系 。 
RI (config)# ip nat inside source list 1 pool tdp 


(4) 测试 校园 网 内 部 计算 机 访问 Internet 上 Web-Server 的 情况 。 


按照 4 台 计 算 机 顺序 访问 Web-Server 情况 ,结果 前 3 台 计 算 机 能 够 顺利 访问 Web- 


Server, 第 4 台 计算 机 不 能 访问 。 原 因 是 前 3 台 计 算 机 分 别 获得 了 地 址 池 中 的 公 网 地 址 ,由 
于 地 址 池 中 仅 有 3 个 公 网 地 址 ,所 以 第 4 台 计 算 机 没有 获得 地 址 池 里 的 公 网 地 址 而 不 能 访 
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问 外 部 网 络 。 除 非 前 3 台 计 算 机 有 计算 机 不 再 访问 ,退出 获得 的 公 网 TP 地 址 。 在 这 种 情况 
下 ,第 4 台 计 算 机 才 可 能 访问 外 网 。 
(5) 通过 命令 show ip nat translations 查看 地 址 转换 情况 ,结果 如 图 9. 10 所 示 。 


iOS Command Line Interface 


Rl$show ip nat translations 

Pro Inside global Inside local Outside local Outside global 
192.168.1.10:1025 202.102.10.100:80 202.102.10.100:80 
192.168.1.20:1028 202.102.10.100:80 202.102.10.100:80 
192.168.1.30:1025 202.102.10.100:80 202.102.10.100:80 


图 9.10 网 络 地 址 转换 情况 


从 图 9. 10 中 可 以 看 出 ,内 部 本 地 地 址 192. 168. 1. 10 转换 成 内 部 全 局 地 址 61. 177. 10. 
3 在 Internet 网 络 中 转发 分 组 。 内 部 本 地 地 址 192. 168. 1. 20 转换 成 内 部 全 局 地 址 61. 177. 
10. 4 在 Internet 网 络 中 转发 分 组 ,内 部 本 地 地 址 192. 168. 1. 30 转换 成 内 部 全 局 地 址 61. 
177. 10. 5 在 Internet 网 络 中 转发 分 组 。 


9.5 PAT 


9.5.1 PAT 概述 
可 以 将 端口 地 址 转换 (Port Address Translation,PAT) 看 作 NAT 的 一 部 分 。 
9.5.2 PAT 配 置 


1. 静态 PAT 
CD 定义 内 网 端口 和 外 网 端口 。 


Router (config)# interface fastethernet 0 
Router (config- if)# ip nat outside 
Router (config)£ interface fastethernet 1 


Router (config- if)f ip nat inside 
(2) 建立 静态 的 映射 关系 。 


Router (config)# ip nat inside source static tcp 192.168.1.7 1024 200.8.7.3 1024 
Router (config)# ip nat inside source static udp 192.168.1.7 1024 200.8.7.3 1024 


2. 动态 PAT 
CD 定义 内 网 端口 和 外 网 端口 。 


Router (config- if)# ip nat outside 


Router (config-if)fip nat inside 
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(2) 定义 内 部 本 地 地 址 范围 。 

Router (config)# access- list 10 permit 192.168.1.0  0.0.0.255 

(3) 定义 内 部 全 局 地 址 池 。 

Router (config)# ip nat pool abc 200.8.7.3 200.8.7.3 netmask 255.255.255.0 
(4) 建立 映射 关系 。 


Router (config)# ip nat inside source list 10 pool abc overload 


9.5.3 PAT 配置 案例 


PAT 的 使 用 场合 : 

COD 缺乏 全 局 IP 地 址 ,甚至 只 有 一 个 连接 ISP 的 全 局 IP 地 址 。 

(2) 内 部 网 要 求 上 网 的 主机 数 很 多 。 

(3) 提高 内 网 的 安全 性 。 

如 图 9. 11 所 示 ,模拟 仿真 校园 网 访问 Internet 网 络 情况 ,具体 IP 地 址 配置 见 表 9.4, 要 
求 在 校园 网 出 口 路 由 器 R1 上 配置 PAT, 使 得 校园 网 计算 机 能 够 访问 Internet 网 络 。 


LAN | Internet 


zz ba od 1H [7 S0/0/0 El 
校园 网 出 口 路 由 0 电信 路 由 器 


Fa0/0 Fa0/0 
2. E - 2.102.10.1/2 
192.168.1.1 2811 DCE 28 n 22 102.10.1/24 
RI R2 C« 
1 x 
192.168.1.0/24 i M 
1 BS 
wd 1 * 
2960-24TT 
Switcht 
/ Server-PT 
g Web-Server 
B. 202.102.10.100/24 
PC-PT PC-PT PC-PT PC-PT 


PCI PC2 PC3 PC4 
192.168.1.10/24 192.168.1.20/24 192.168.1.30/24 — 192.168.1.40/24 


9.11 PAT 实验 网 络 拓扑 图 


表 9.4 IP 地址 配置 


设 备 端口 IP 地 址 子 网 掩 码 
S0/0/0 61.177.10.1 255. 255. 255. 248 

M Fa0/0 192.168.1.1 255. 255. 255.0 
S0/0/0 61. 177. 10. 2 255. 255. 255. 248 

Fa0/0 202. 102. 10.1 255. 255. 255.0 

PC1 网 卡 192. 168. 1. 10 255. 255. 255. 0 

PC2 网 卡 192. 168. 1. 20 255. 255. 255.0 
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续 表 
设 备 端口 IP 地 址 子 网 掩 码 
PC3 网 卡 192. 168. 1. 30 255. 255. 255. 0 
PC4 网 卡 192. 168. 1. 40 255. 255. 255.0 
Web-Server 网 卡 202. 102. 10. 100 255. 255. 255. 0 


首先 对 网 络 进行 基本 配置 ,满足 以 下 两 方面 要 求 : 四 校园 网 内 部 计算 机 能 够 ping 通 网 
关 ( 地 址 为 192. 168. 1. 10; @Internet 网 络 Web-Server 计算 机 ping 通 校 园 网 出 口 路 由 器 
R1 连接 外 网 端口 S0/0/0。 前 面 已 经 有 这 部 分 的 完整 配置 。 

接 下 来 具体 配置 PAT。 

方案 一 : 内 部 全 局 地 址 为 校园 网 出 口 路 由 器 端口 SO/0/0 定义 内 网 端口 和 外 网 
端口 。 


R1 (config)# interface fastEthernet 0/0 // 进 入 路 由 器 端口 Fa0/0 
Rl (config-if)fip nat inside // 宣 告 内 部 网 络 
Rl(config-if)fexit // 退 出 
Rl (config)# interface serial 0/0/0 // 进 入 路 由 器 端口 S0/0/0 
Rl (config- if)# ip nat outside // 宣 告 外 部 网 络 
Rl(config-if)fexit // 退 出 

定义 内 部 本 地 地 址 范围 。 
Rl(config)faccess-list 1 permit any 

建立 映射 关系 。 


Rl(config)fip nat inside source list 1 interface serial 0/0/0 overload 


测试 校园 网 内 部 计算 机 访问 Internet. 上 Web-Server 的 情况 。 测 试 结果 表明 ,内 部 计算 
机 都 可 以 访问 Internet 网 络 。 

通过 show ip nat translations 命令 可 以 看 出 ,内 部 私有 地 址 通过 PAT 转换 后 都 转换 为 
同一 个 内 部 全 局 地 址 61. 177. 10. 1 ,唯一 不 同 的 是 ,对 应 的 是 同一 内 部 全 局 地 址 不 同 的 端口 
号 ,如 图 9. 12 所 示 。 


iOS Command Line Interface 


RIS 
Rl$show ip nat translations 

Pro Inside global Inside local Outside local Outside global 
tcp 61.177.10.1-:1025  192.168.1.10-1025 

tcp 61.177.10.1:1024 — 192.168.1.20:1025 

tcp 61.177.10.1:1026 — 192.168.1.30:1025 

tcp 61.177.10.1:1027 192.1€8.1.40:1025 


图 9. 12 查看 映射 关系 
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方案 二 : 使 用 内 部 全 局 地 址 池 转 换 , 同 样 使 用 图 9. 11 ,要 求 利用 PAT 满足 内 部 计算 机 
访问 Internet 网 络 。 

首先 对 网 络 进 行 基本 配置 ,满足 以 下 两 方面 要 求 : 四 校园 网 内 部 计算 机 能 够 ping 通 网 
关 ( 地 址 为 192. 168. 1. 1); @Internet 网 络 Web-Server 计算 机 能 够 ping 通 校园 网 出 口 路 由 
器 R1 连接 外 网 端口 S0/0/0。 前 面 已 经 有 这 部 分 的 完整 配置 。 


具体 PAT 配置 如 下 。 

定义 内 网 端口 和 外 网 端口 : 

Rl (config)# interface fastEthernet 0/0 // 进 入 路 由 器 端口 Fa0/0 
RI (config-if)fip nat inside // 宣 告 内 部 端口 
Rl(config-if)fexit // 退 出 

R1 (config)# interface serial 0/0/0 // 进 入 路 由 器 端口 s0/0/0 
R1 (config- if)#ip nat outside // 宣 告 外 部 端口 
Rl(config-if)fexit // 退 出 

定义 内 部 本 地 地 址 范围 : 


Rl(config)faccess-list 1 permit any 

定义 内 部 全 局 地 址 池 : 

Rl (config)# ip nat pool tdp 61.177.10.3 61.177.10.5 netmask 255.255.255.248 
建立 映射 关系 : 

Rl(config)fip nat inside source list 1 pool tdpoverload 


测试 校园 网 内 部 计算 机 访问 Internet 上 Web-Server 的 情况 。 测 试 结果 表明 ,内 部 计算 
机 都 可 以 访问 Internet 网 络 。 通 过 show ip nat translations 命令 查看 结果 ,如 图 9. 13 
Bim. 


Physical Config CLI 
iOS Command Line Interface 


Rlfshow ip nat translations 
Inside local Outside local 
3 192.168.1. 
VOS 2 -1€8.1. 
102: -168- 
177. -1€8. 
-177- -1€8.1. 
2122 2 -1€8.1. 
am. -1€8.1. 


77. -168.1. 
-177- -168.1. 
im. 168.1. 
2972 2.168.1. 202.102. 
-177.10.3:1030 -168.1.40- 202.102. 
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9.6 本章 小 结 


本 章 详细 介绍 了 网 络 地 址 转换 的 基本 概念 ,分 析 了 网 络 地 址 转换 产生 的 原因 ,讲解 了 网 
络 地 址 转换 的 具体 分 类 ,接着 详细 讲解 了 各 种 网 络 地 址 转换 的 配置 过 程 。 


9.7 “习题 


简 答题 

1. 什么 是 网 络 地 址 转换 ? 

2. 网 络 地 址 转换 产生 的 原因 是 什么 ? 
3. 网 络 地 址 转换 分 为 哪 几 种 类 型 ? 
操作 题 

1. 配置 静态 NAT. 

2. 配置 动态 NAT。 

3. 配置 PAT。 
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本 章 学 习 目 标 

。 掌握 广域网 的 基本 概念 

。 掌握 广域网 常见 的 线路 类 型 

。 了 解 广域网 常见 的 接 入 技术 
。 掌握 HDLC 及 PPP 相关 技术 
。 掌握 帧 中 继 技术 及 配置 方法 
。 掌握 VPN 技术 及 配置 方法 


本 章 首 先 介绍 广域网 的 基本 概念 ,接着 介绍 广域网 各 种 线路 类 型 以 及 广域网 各 种 接 人 
技术 ,广域网 点 到 点 协议 HDLC 及 PPP, 并 探讨 PPP 两 种 认证 协议 PAP 及 CHAP 以 及 它 
们 的 配置 过 程 。 

本 章 介绍 的 常见 的 广域网 技术 包括 帧 中 继 和 VPN ,详细 介绍 帧 中 继 的 工作 原理 及 配置 
过 程 ,以 及 VPN 技术 ,特别 介绍 IPSec VPN 技术 、GRE over IPSec VPN 技术 ,并 分 别 介绍 
它们 的 工作 原理 及 详细 配置 过 程 。 


10.1 广域网 技术 概述 


10.1.1 广域网 


广域网 (Wide Area Network,WAN) 指 分 布 距离 远 , 通 过 各 种 类 型 的 串 行 连接 以 便 在 
更 大 的 地 理 区 域内 实现 接 入 的 网 络 。 它 一 般 在 不 同城 市 之 间 的 LAN 或 者 MAN 之 间 实 现 
网 络 互 联 , 地 理 范 围 可 从 几 百 千 米 到 几 千 千 米 。 一 般 情 况 下 ,广域网 的 连接 通常 比 局 域 网 连 
接 慢 。 

广域网 由 电信 运营 商 负责 建立 和 维护 ,用 来 解决 远 距离 高 质量 数据 通信 的 问题 ,属于 广 
域 网 核心 技术 部 分 ,同时 也 为 用 户 提供 接 入 广域网 的 方法 和 技术 ,属于 广域网 的 接 入 技术 
部 分 。 

从 网 络 分 层 的 角度 考虑 ,广域网 技术 对 应 物理 层 以 及 数据 链 路 层 。 

广域网 中 通常 有 两 种 设备 类 型 ,分 别 为 DCE( 数 据 通信 设备 ) 和 DTE( 数 据 终端 设备 ) 。 

DCE: 该 设备 和 与 其 通信 网 络 的 连接 构成 了 网 络 终端 的 用 户 网 络 端口 。 它 提供 了 到 网 
络 的 一 条 物理 连接 、 转 发 业务 量 , 并 且 提 供 了 一 个 用 于 同步 DCE 和 DTE 之 间 数 据 传 输 的 时 
钟 信 号 。 调 制 解 调 器 都 是 DCE。 

DTE: 指 的 是 位 于 用 户 网 络 端口 用 户 端的 设备 , 它 能 够 作为 信 源 、 信 宿 或 同时 为 二 者 。 
数据 终端 设备 通过 数据 通信 设备 (如 调制 解 调 器 ) 连 接 到 一 个 数据 网 络 上 ,并且 通 常 使 用 数 
据 通信 设备 产生 的 时 钟 信号 。 数 据 终端 设备 包括 计算 机 等 设备 。 
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10.1.2 线路 类 型 


有 很 多 广域网 解决 方案 可 以 选择 , 包括 用 于 拨号 连接 的 模拟 调制 解 调 器 和 综合 服务 数 
字 网 络 (ISDN) .异步 传输 模式 (Asynchronous Transfer Mode. ATM)、 专 用 的 点 对 点 租用 
线路 (专线 ) ,数字 用 户 线路 (DSL)、 帧 中 继 、 无 线 、X. 25 等 。 广 域 网 连接 通常 有 以 下 3 种 

。 租用 线路 : 如 专用 线路 或 连接 。 

。 电 路 交换 连接 : 如 模拟 调制 解 调 器 与 数字 ISDN 拨号 连接 。 

* 分 组 交换 连接 : 如 帧 中 继 、X. 25 以 及 ATM 等 。 

1. 租用 线路 

通过 电信 运营 商 提供 专线 ,在 通信 双方 之 间 建 立 永 久 链 路 ,租用 线路 用 于 数据 量 比 较 
大 、 对 服务 质量 (QoS) 要 求 比较 高 的 环境 。 

租用 线路 能 为 连接 提供 较 好 的 带宽 和 较 小 的 延迟 ,缺点 是 成 本 相对 较 高 。 另 外 ,到 站 点 
的 每 个 连接 要 求 在 路 由 器 上 有 单独 的 端口 。 例 如 ,一 个 需要 访问 4 个 远程 站 点 的 中 心路 由 
器 ,将 需要 4 个 WAN 端口 连接 4 个 专用 线路 。 帧 中 继 和 ATM 可 以 使 用 一 个 WAN 端口 
提供 相同 的 连通 性 。 

可 用 于 租用 线路 连接 的 公共 数据 链 路 层 协 议 包括 PPP 和 HDLC., 

2. 电路 交换 

电路 交换 连接 是 拨号 连接 ,具有 调制 解 调 器 的 PC 在 拨号 到 ISP 时 使 用 。 电 话 和 ISDN 
就 属于 电路 交换 。 电 路 交换 与 租用 线路 比较 ,电路 交换 的 电路 利用 率 有 很 大 提高 。 租 用 线 
路 的 使 用 者 独占 线路 ,电路 交换 通过 使 用 时 分 复 用 (TDM) 技 术 , 可 以 把 每 一 条 物理 电路 分 
配给 多 个 广域网 服务 订购 者 ,提高 了 电路 利用 率 ,降低 了 运营 商 的 成 本 ,也 降低 了 广域网 服 
务 使 用 者 的 费用 。 

电路 交换 比较 适合 数据 流量 不 大 ,又 不 一 直 在 线 的 用 户 ,如 家 庭 和 小 型 公司 连接 
Internet, 以 及 远程 用 户 或 移动 用 户 临 时 连接 单位 网 络 时 使 用 。 

3. 分 组 交换 

电路 交换 技术 中 ,多 个 广域网 服务 定购 者 共享 一 条 物理 电路 ,每 一 个 定购 者 获得 一 个 固 
定 的 时 隙 ,固定 地 传输 特定 用 户 的 数据 ,如 果 相 应 的 用 户 没有 数据 可 传输 , 则 特定 的 时 隙 被 
浪费 。 分 组 交换 虽然 也 在 同一 条 电路 上 传送 多 个 用 户 的 数据 ,但 分 组 交换 技术 没有 为 不 同 
的 用 户 分 配 固定 的 时 际 ,而 是 把 用 户 数据 以 分 组 的 形式 转发 ,每 个 分 组 都 包含 有 完整 的 地 址 
信息 和 传输 控制 信息 (如 TP 数据 包 )。 分 组 在 网 络 上 独立 地 寻 址 和 传输 ,直至 到 达 目 的 地 。 

在 分 组 交换 的 链 路 上 ,数据 传输 之 前 要 进行 分 组 ,分 组 经 由 的 每 个 转发 结 点 都 要 对 分 组 
进行 存储 ,而 后 选择 合适 的 路 由 转发 。 分 组 交换 技术 可 以 动态 地 分 配 传输 带宽 ,实际 上 是 只 
要 存在 可 用 带宽 ,就 都 可 以 分 配给 用 户 使 用 ,这 样 大 大 提高 了 用 户 数据 的 传输 效率 ,有 利于 
降低 传输 延迟 。 

传统 的 广域网 技术 中 , 帧 中 继 和 ATM 都 是 分 组 交换 。 


10.1.3 广域网 接 人 技术 
常见 的 广域网 接 入 技术 有 以 下 几 种 : 
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虚拟 拨号 接 人 技术 。 
ISDN 技术 。 

xDSL 技术 。 

DDN 技术 。 

光纤 / 同 轴 电缆 混合 技术 (HFC)。 
光纤 接 入 技术 。 

无 线 接 入 技术 。 

帧 中 继 接 人 技术 。 
ATM 接 人 技术 。 

以 太 网 接 人 技术 。 
VPN 接 人 技术 。 


10.2 点 到 点 链 路 


10.2.1 HDLC 


高 级 数据 链 路 控制 (High-Level Data Link Control,HDLC) 是 一 个 在 同步 网 上 传输 数 
据 、 面 向 比特 的 数据 链 路 层 协 议 , 它 是 由 国际 标准 化 组 织 (ISO) 根 据 IBM 公司 的 SDLC 
(Synchronous Data Link Control) 协 议 扩 展开 发 而 成 的 。 

HDLC 是 位 于 数据 链 路 层 的 协议 之 一 ,其 工作 方式 可 以 支持 半 双 工 ` 全 双 工 传送 ,支持 
点 到 点 ,多 点 结构 ,支持 交换 型 . 非 交换 型 信道 , 它 的 主要 特点 包括 以 下 3 个 方面 。 

COD 透明 性 : 为 实现 透明 传输 ,HDLC 定义 了 一 个 特殊 标志 ,这 个 标志 是 一 个 8 位 的 比 
特 序 列 , 即 01111110 ,用 它 指明 帧 的 开始 和 结束 。 同 时 ,为 保证 标志 的 唯一 性 ,在 数据 传送 
时 , 除 标志 位 外 ,还 采取 了 0 比特 插入 法 ,以 区 别 标志 符 , 即 发 送 端 监视 比特 流 ,每 当 发 送 了 
连续 5 个 1 时 ,就 插入 一 个 附加 的 0, 接收 站 同样 按 此 方法 监视 接收 的 比特 流 , 当 发 现 连续 5 
个 1 而 第 六 位 为 0 时 , 即 删除 第 六 位 的 0。 

(2) 帧 格式 : HDLC 帧 格式 包括 地 址 域 ,控制 域 、 信 息 域 和 帧 校 验 序列 。 

(3) 规程 种 类 : HDLC 支持 的 规程 种 类 包括 异步 响应 方式 下 的 不 平衡 操作 、 正 常 响应 
方式 下 的 不 平衡 操作 、 异 步 响应 方式 下 的 平衡 操作 。 


10.2.2 PPP 


点 对 点 协议 (PPP) 为 在 点 对 点 连接 上 传输 多 协议 数据 包 提 供 了 一 个 标准 方法 。PPP 最 
初 设计 是 为 两 个 对 等 结 点 之 间 的 IP 流量 传输 提供 一 种 封装 协议 。 在 TCP/IP 集中 , 它 是 一 
种 用 来 同步 调制 连接 的 数据 链 路 层 协议 (OSI 模式 中 的 第 二 层 ) , 蔡 代 了 原来 非 标准 的 第 二 
层 协议 , 即 SLIP。 除 IP 以 外 ,PPP 还 可 以 携带 其 他 协议 ,包括 DECnet 和 Novell 的 
Internet 网 包 交 换 (IPX) 。 

(1) PPP 具有 动态 分 配 IP 地 址 的 能 力 ,允许 在 连接 时 协商 IP 地 址 。 

(2) PPP 支持 多 种 网 络 协议 ,如 TCP/IP, NetBEUI, NWLINK 等 。 

(3) PPP 具有 错误 检测 以 及 纠 错 能 力 ,支持 数据 压缩 。 
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(4) PPP 具有 身份 验证 功能 。 
(5) PPP 可 用 于 多 种 类 型 的 物理 介质 上 ,包括 串口 线 、 电 话 线 、 移 动 电话 和 光纤 (如 
SDH)。PPP 也 用 于 Internet 接 人 。PPP 帧 格式 见 表 10. 1。 


表 10.1 PPP 帧 格式 


域 Flag Address Control Protocol Data FCS Flag 
字段 7E FF 03 协议 信息 FCS 7E 
字 节 g 1 1 2 1500 2 1 


PPP 采用 7EH 作为 一 帧 的 开始 和 结束 标志 (F); 其 中 地 址 域 (A) 和 控制 域 (C) 取 固定 
值 (A=FFH,C=03H); 协 议 域 (两 个 字 节 ) 取 0021H 表示 IP 分 组 , 取 8021H 表示 网 络 控制 
数据 , 取 C021H 表示 链 路 控制 数据 ; 帧 校 验 域 (FCS) 也 为 两 个 字 节 , 它 用 于 对 信息 域 的 校 
验 。 若 信息 域 中 出 现 7EH, 则 转换 为 (7DH,5EH)。 当 信息 域 出 现 7DH 时 , 则 转换 为 
(7DH,5DH)。 当 信息 流 中 出 现 ASCII 码 的 控制 字符 ( 即 小 于 20H) , 即 在 该 字符 前 加 入 一 
个 7DH 字符 。 

和 HDLC 最 主要 的 区 别 是 ,PPP 是 面向 字符 的 ,HDLC 是 面向 位 的 。 

有 两 种 认证 方式 ,一 种 是 PAP, 另 一 种 是 CHAP。 相 对 来 说 ,PAP 的 认证 方式 安全 性 
没有 CHAP f$, PAP 传输 的 密码 是 明文 的 ,而 CHAP 传输 密码 的 hash( 喻 希 ) 值 。PAP A 
证 是 通过 两 次 握手 实现 的 ,而 CHAP 则 是 通过 3 次 握手 实现 的 。PAP 认证 是 被 叫 提出 连 
接 请 求 , 主 叫 响应 。 而 CHAP 则 是 主 叫 发 出 请 求 ,被 叫 回复 一 个 数据 包 , 这 个 包 里 面 有 主 叫 
发 送 的 随机 的 哈 希 值 , 主 叫 在 数据 库 中 确认 无 误 后 发 送 一 个 连接 成 功 的 数据 包 连 接 。 

PAP fil CHAP 的 配置 过 程 如 下 。 

1. PAP 单 向 认证 

如 图 10. 1 所 示 , 路 由 器 RI 为 被 认证 端 ,路 由 器 R2 为 认证 端 ,将 两 台 路 由 器 的 串口 封 
装 成 PPP, 开 启 路 由 器 R2 的 PAP 认证 方式 ,路 由 器 R2 对 路 由 器 R1 进行 单 向 认证 。 注 意 ， 
作为 单 向 认证 ,不 开启 路 由 器 RI 的 PAP 认证 。 


S0/0/0 192.168.1.2/24 


192.168.1.1/24 
2811 2811 
RI R2 
被 认证 端 认证 端 
hostname : R1 hostname ; R2 
封装 : PPP username: Rl, password: 123 
封装 : PPP 
认证 方式 : PPP 


10.1 单 向 PAP 认证 实验 拓扑 


首先 配置 认证 端 路 由 器 R2 ,主要 配置 认证 的 用 户 名 和 密码 ,封装 为 PPP, 以 及 设置 认证 
方式 为 PAP。 


Router> en 
Router# config t 
Router (config)# hostname R2 


279 


网 络 互联 技术 与 实践 


R2 (config)# interface serial 0/0/0 

R2 (config- if)# ip address 192.168.1.2 255.255.255.0 
R2 (config-if)fno shu 

R2 (config-if)fexit 

R2 (config)# username R1 password 123 

R2 (config) # interface serial 0/0/0 

R2 (config- if)# encapsulation ppp 

R2 (config- if)#ppp authentication pap 


其 次 配置 被 认证 端 路 由 器 R1, 主 要 配置 封装 方式 为 PPP, 发 送 验证 相关 信息 。 具 体 配 
置 如 下 。 


Router> en 

Router# config t 

Router (config)#hostname R1 

R1 (config)# interface serial 0/0/0 

Rl(config-if)fip address 192.168.1.1 255.255.255.0 
Rl (config- if)# no shu 

Rl (config- if)# clock rate 64000 

R1 (config- if)# encapsulation ppp 

R1 (config- if)# ppp pap sent- username R1 password 123 
Rl (config- if)# 


最 后 测试 网 络 连 通 性 ,测试 结果 如 下 ,表明 网 络 是 联通 的 。 


Rl#ping 192.168.1.2 
Type escape sequence to abort. 
Sending 5, 100- byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: 


Success rate is 100 percent (5/5), round- trip min/avg/max = 1/2/9 ms 
E 


2. PAP 双向 认证 
如 图 10.2 所 示 ,路 由 器 R1 和 路 由 器 R2 既是 认证 端 ,又 是 被 认证 端 ,将 两 台 路 由 器 的 
串口 封装 成 PPP, 开 启 两 台 路 由 器 的 PAP 认证 方式 。 


192.168.1.1/24 S0/0/0 ^ 192.168.1.2/24 


2811 2811 
RI R2 
被 认证 端 /认证 端 认证 端 /被 认证 端 
hostname : R1 hostname: R2 
username : R2, password : 321 username: R1, password: 123 
封装 : PPP 封装 : PPP 
认证 方式 : PPP 认证 方式 : PPP 


10.2 双向 PAP 认证 实验 拓扑 


首先 配置 认证 端 路 由 器 R1, 主 要 配置 认证 的 用 户 名 和 密码 ,封装 为 PPP, 以 及 设置 认证 
方式 为 PAP。 发 送 验 证 相关 信息 ,具体 配置 如 下 。 
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Router> en 

Router# config t 

Router (config)# interface serial 0/0/0 

Router (config) # username R2 password 321 

Router (config- if)# ip address 192.168.1.1 255.255.255.0 
Router (config- if)# no shu 

Router (config- if)# clock rate 64000 

Router (config- if)# encapsulation ppp 

Router (config)# interface serial 0/0/0 

Router (config- if)# PPP authentication pap 

Router (config- if)# PPP pap sent- username R1 password 123 


其 次 配置 路 由 器 R2. 


Router> en 

Router# config t 

Router (config)# interface serial 0/0/0 

Router (config) # username R1 password 123 

Router (config- if)# ip address 192.168.1.2 255.255.255.0 
Router (config- if)# no shu 

Router (config- if)# encapsulation ppp 

Router (config- if)# ppp authentication pap 

Router (config- if)# ppp pap sent- username R2 password 321 
Router (config-if)fexit 


Router (config)# 
最 后 测试 网 络 连通 性 。 


Router# ping 192.168.1.2 
Type escape sequence to abort. 
Sending 5, 100- byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: 


Success rate is 100 percent (5/5), round- trip min/avg/max = 1/3/15 ms 
Router# 


3. CHAP 单 向 认证 

如 图 10.3 所 示 ,路 由 器 RI 为 被 认证 端 ,路 由 器 R2 为 认证 端 ,将 两 台 路 由 器 的 串口 封 
装 成 PPP, 开 启 路 由 器 R2 的 CHAP 认证 方式 ,路 由 器 R2 对 路 由 器 R1 进行 单 向 认证 。 注 
意 ,作为 单 向 认证 ,不 开启 路 由 器 RI CHAP 认证 。 

路 由 器 R1 的 配置 过 程 如 下 。 


Router> en 

Router£ config t 

Router (config) #hostname Rl 

R1 (config) # interface serial 0/0/0 
R1 (config- if)# encapsulation ppp 
Rl(config-if)fexit 
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R1 (config)# username R2 password 123 


R1 (config) # 
G 192.168.1.1/24 S0/0/0 192.168.1.2/24 G 
2811 2811 
RI R2 
被 认证 端 认证 端 
hostname : RI hostname: R2 
封装 : PPP username : R1, password: 123 
封装 : PPP 
认证 方式 : CHAP 
图 10.3 单 向 CHAP 认证 实验 拓扑 
路 由 器 R2 的 配置 过 程 如 下 。 
Router> en 


Router# config t 

Router (config) # hostname R2 

R2 (config)f interface serial 0/0/0 

R2 (config-if)fip address 192.168.1.2 255.255.255.0 
R2 (config- if)# no shu 

R2 (config- if)# encapsulation ppp 

R2 (config- if)#PPP authentication chap 

R2 (config)# username R1 password 123 

R2 (config) # 


最 后 测试 网 络 连通 性 ,结果 如 下 。 


Rl#ping 192.168.1.2 
Type escape sequence to abort. 
Sending 5, 100- byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: 


Success rate is 100 percent (5/5), round- trip min/avg/max = 1/3/13 ms 
RH 


4. CHAP 双向 认证 
如 图 10. 4 所 示 ,路 由 器 R1 和 路 由 器 R2 既是 认证 端 ,又 是 被 认证 端 , 将 两 台 路 由 器 的 


串口 封装 成 PPP, 开 启 路 由 器 R1 和 R2 的 CHAP 认证 方式 。 具 体 配置 如 下 。 


192.168.1.1/24 S0/0/0 192.168.1.2/24 


2811 2811 
RI R2 
被 认证 端 /认证 端 认证 端 /被 认证 端 
hostname: R1 hostname; R2 
username : R2, password : 123 username: Rl, password: 123 
封装 : PPP 封装 : PPP 
认证 方式 : CHAP 认证 方式 : CHAP 


图 10.4 双向 CHAP 认证 实验 拓扑 
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首先 配置 路 由 器 R1, 具 体 配置 如 下 。 


Router> en 

Router# config t 

Router (config)# hostname Rl 

R1 (config) # interface serial 0/0/0 
Rl(config-if)fno shu 

R1 (config- if)# clock rate 64000 
Rl(config-if)fexit 

R1 (config) # username R1 password 123 

R1 (config)# no username R1 pas 123 

R1 (config)# username R2 password 123 

R1 (config)f interface serial 0/0/0 

R1 (config- if)# encapsulation ppp 

R1 (config- if)#ppp authentication chap 
R1 (config)# interface serial 0/0/0 

Rl (config- if)# ip address 192.168.1.1 255.255.255.0 
Rl (config- if)# no shu 

R1 (config- if)#end 


其 次 配置 路 由 器 R2, 具 体 配置 如 下 。 


Router>en 

Router# config t 

Router (config)#hostname R2 

R2 (config)# interface serial 0/0/0 

R2 (config- if)#ip address 192.168.1.2 255.255.255.0 
R2 (config- if)#no shu 
R2(config-if)fexit 

R2 (config)# username R1 password 123 

R2 (config)# interface serial 0/0/0 

R2 (config- if)# ppp authentication chap 
R2 (config- if)#end 


最 后 测试 网 络 连通 性 ,结果 如 下 。 


R1# ping 192.168.1.2 

Type escape sequence to abort. 

Sending 5, 100- byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: 
Success rate is 100 percent (5/5), round- trip min/avg/max —1/2/9 ms 
Ri 


10.3 Hip 


10.3.1 帧 中 继 的 工作 原理 


帧 中 继 是 一 种 用 于 公共 或 专用 网 上 的 局 域 网 互联 以 及 广域网 连接 ,是 一 种 网 络 与 数据 
终端 设备 (DTE) 的 端口 标准 。 作 为 建立 高 性 能 的 虚拟 广 域 连接 的 一 种 途径 ,采用 虚 电路 技 
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术 对 分 组 交换 技术 进行 简化 ,可 以 在 一 对 一 或 者 一 对 多 的 应 用 中 快速 而 低廉 地 传输 信息 。 
学 习 帧 中 继 技术 须 掌 握 如 下 术语 。 

(1) PVC: 永久 虚 电 路 ,是 两 个 DTE 之 间 通 过 帧 中 继 网 络 实现 的 连接 ,这 种 连接 是 人 逻 
辑 连 接 , 是 运营 商 预 配置 的 电路 。 

(2) DLCI: 数据 链 路 连接 标识 符 (data link connection identifier) ,在 单一 物理 传输 线 
路 上 能 够 提供 多 条 虚 电 路 。 每 条 虚 电 路 都 用 DLC 标识 ,有 一 个 链 路 识别 码 。DLCI 的 值 一 
般 由 帧 中 继 服 务 提供 商 指 定 。 

(3) LMI: 本 地 管理 端口 (local management interface) 是 帧 中 继 网 络 设备 和 用 户 端 设 
备 进 行 连通 性 确认 的 一 种 协议 ,是 对 基本 的 帧 中 继 标准 的 扩展 ,提供 帧 中 继 管 理 机 制 。 

当 路 由 器 通过 帧 中 继 网 络 把 TP 数据 包 发 到 下 一 跳 路 由 器 时 ,必须 知道 IP 和 DLCI 的 
映射 才能 进行 帧 的 封装 。 帧 中 继 的 映射 类 型 有 两 种 ,分 别 如 下 。 

(1) 动态 映射 ,是 路 由 器 自动 获得 映射 关系 。 

(2) 静态 映射 ,是 管理 员 手 工 配置 映射 关系 。 


10.3.2 帧 中 继 配 置 


l. 网 络 拓扑 构建 

帧 中 继 实验 网 络 拓扑 图 如 图 10. 5 所 示 ,将 一 所 大 学 的 3 个 不 同 的 校区 一 一 北 校区 、 西 
校区 和 东 校 区 通过 帧 中 继 网 络 互联 起 来 ,以 达到 资源 共享 的 目的 。 整 个 拓扑 由 3 台 2811 路 
由 器 、3 台 终端 设备 和 帧 中 继 云 组 成 ,3 台 终 端 设备 代表 3 个 不 同 的 网 络 , 也 就 是 3 个 不 同 的 校 
区 ,它们 分 别 和 3 台 路 由 器 的 FO/O 端口 相连 。3 台 路 由 器 均 使 用 S0/0/0 口 与 帧 中 继 云 相连 。 


北 校区 
u 
PC-PT 
PCI 
F0/0 
2811 
RI S0/0/0 
103 103 

帧 中 继 云 

301 


S0/0/0 
~ 


€ 


Cloud-PT 


S0/0/0  Cloudo Fon 


F0/0 


PC2 PCs 
西 校区 东 校区 


图 10.5 帧 中 继 实验 网 络 拓扑 图 


具体 组 建 拓扑 时 , 须 注 意 以 下 两 点 。 
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CD 分 别 为 3 台 2811 路 由 器 插入 广域网 模块 ,具体 操作 为 : 四 单 击 需要 添加 模块 的 路 
由 器 。 关 闭 机 器 的 电源 。@ 在 窗口 的 Physical 区 选择 WIC-2T 模块 ,将 它 拖 放 到 空 的 模块 
槽 中 ,然后 释放 鼠标 。@@ 重 新 打开 电源 。 

(2) 路 由 器 和 帧 中 继 云 相连 时 ,将 帧 中 继 云 设 置 为 DCE 端 ,将 3 台 路 由 器 的 S0/0/0 均 
设置 为 DTE 端 。 具 体 连 接 为 : 帧 中 继 云 的 SO 端口 连接 RI 的 S0/0/0 端口 ,Sl 端口 连接 
R2 的 S0/0/0 端口 ,S2 端口 连接 R3 的 S0/0/0 端口 。 

2. 实验 环境 配置 

1) IP 地 址 规划 

将 PCI 所 在 的 北 校区 的 网 络 地址 设置 为 1. 1. 1. 0/24 ,将 PC2 所 在 的 西 校区 的 网 络 地 
址 设置 为 2.2. 2.0/24, 将 PC3 所 在 的 东 校 区 的 网 络 地 址 设置 为 3. 3. 3. 0/24 , 帧 中 继 云 所 在 
的 网 络 地 址 为 10. 0. 0. 0/24 和 12. 0. 0. 0/24。 

2) 在 帧 中 继 云 中 配置 DLCI 映射 关系 建立 PVC 通道 

具体 通过 以 下 两 个 步骤 实现 。 

(D 创建 DLCI 号 : 在 帧 中 继 的 SO 端 创建 两 个 DLCI, 分 别 为 102 和 103, 在 Sl 端 创建 
DLCI 为 201, 在 S2 端 创建 DLCI 为 301。 具 体操 作为 : a. 单 击 帧 中 继 云 ,从 弹出 的 窗口 中 
选择 Config 菜单 。b. 单 击 Interface 下 的 So ,在 右边 窗口 的 DLCI 中 输入 102. E Name 中 
也 输入 102, 单 击 Add 按钮 。 采 用 同样 的 方法 添加 103。 再 用 同样 的 方法 在 S1 中 添加 201, 
在 S2 中 添加 301。 

© 建立 PVC 通道: 选择 Connections 菜单 中 的 Frame Relay, 在 右边 的 窗口 中 将 S0 的 
102 和 S1 的 201 相连 ,也 就 是 将 SO 的 102 和 S1 的 201 建立 映射 关系 ,将 SO 的 103 和 S2 
的 301 相连 ,也 就 是 将 So 的 103 和 S2 的 301 建立 映射 关系 ,也 就 是 建立 了 两 条 PVC 通道 。 
可 以 看 出 ,将 路 由 器 RI 的 S0/0/0 物理 端口 分 成 了 两 个 不 同 的 逻辑 通道 。 

3. 实验 设计 与 实验 

1) IP fll DLCI 的 动态 反 转 ARP 映射 实验 

IP fil DLCI 的 映射 关系 是 动态 自动 获得 的 。 

首先 配置 R1 路 由 器 。 


Router# config t // 进 全 局 配置 模式 

Router (config)#hostname Rl // 为 路 由 器 命名 

R1 (config)# interface fastEthernet 0/0 // 进 入 端口 Fo/0 

R1 (config- if)#ip address 1.1.1.1 255.255.255.0 // 为 该 端口 配置 ITP 地 址 

RI (config- if)#exit // 退 出 端口 模式 

R1 (config)# interface serial 0/0/0 // 进 入 端口 S0/0/0 

R1 (config- if)# no shu // 激 活 端口 s0/0/0 
Rl(config-if)fip address 10.0.0.1 255.255.255.0 // 为 端口 s0/0/0 配 置 IP 地 址 
R1 (config- if)#encapsulation frame- relay // 配 置 帧 中 继 封 装 格 式 


这 里 可 以 指定 LMI 的 类 型 。 如 果 是 Cisco 的 设备 ,也 可 以 不 指定 ,默认 类 型 为 Cisco。 
由 于 R1 作为 DTE 设备 , 故 在 此 不 用 配 时 钟 。 

同样 对 路 由 器 R2 和 R3 进行 配置 。 

配置 完成 后 ,可 以 查看 动态 映射 表 。 
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Rl# show frame- relay map // 查 看 R1 路 由 器 中 的 帧 中 继 动 态 映 射 表 
Serial0/0/0 (up): ip 10.0.0.2 dlci 102, dynamic, broadcast, CISCO, status defined, active 
Serial0/0/0 (up): ip 10.0.0.3 dlci 103, dynamic, broadcast, CISCO, status defined, active 


可 以 看 出 是 对 端的 TP 地 址 和 本 端的 DLCI 号 形成 的 动态 映射 关系 ,使 用 LMI 为 Cisco 


协议 。 


R2# show frame- relay map // 查 看 R2 路 由 器 中 的 帧 中 继 动 态 映射 表 
Serial0/0/0 (up): ip 10.0.0.1 dlci 201, dynamic, broadcast, CISCO, status defined, active 
R3# show frame- relay map // 查 看 R3 路 由 器 中 的 帧 中 继 动 态 映 射 表 


Serial0/0/0 (up): ip 10.0.0.1 dlci 301, dynamic, broadcast, CISCO, status defined, active 


均 为 对 端的 IP 地 址 和 本 端的 DLCI 号 形成 的 动态 映射 关系 ,使 用 的 LMI A Cisco B 


议 ,建立 好 动态 映射 后 就 可 以 进行 网 络 连通 性 测试 了 。 分 别 从 RI 路 由 器 ping R2 和 R3 路 
由 器 ,结果 是 通 的 。 


2) IP 和 DLCI 的 静态 映射 实验 
IP 和 DLCI 的 映射 关系 是 手动 指定 的 。 


Rl# clear frame- relay inarp // 清 除 RL 路 由 器 中 的 帧 中 继 动 态 映 射 表 
Rléconfig t // 进 入 路 由 器 Rl 的 全 局 配置 模式 
R1 (config)# interface serial 0/0/0 // 进 入 路 由 器 R1 so/0/0 端口 


R1 (config- if)# frame- relay map ip 10.0.0.1 102 broadcast 

// 手 动 指 定 帧 中 继 静态 映射 ,遵循 对 端的 I 地 址 10.0.0.1 和 本 端的 DLCI 号 102 形成 映射 关系 

R1 (config- if)# frame- relay map ip 10.0.0.2 102 broadcast 

// 手 动 指定 帧 中 继 静 态 映 射 ,遵循 对 端的 IP 地址 10.0.0.2 和 本 端的 DLCI 号 102 形成 映射 关系 

R1 (config- if)# frame- relay map ip 10.0.0.3 103 broadcast 

// 手 动 指定 帧 中 继 静 态 映 射 ,遵循 对 端的 IP 地址 10.0.0.3 和 本 端的 DLCI 号 103 形 成 映射 关系 

R1# show frame- relay map // 查 看 RI 路 由 器 中 的 帧 中 继 静 态 映 射 表 
Serial0/0/0 (up): ip 10.0.0.1 dlci 102, static, CISCO, status defined, active 

Serial0/0/0 (up): ip 10.0.0.2 dlci 102, static, CISCO, status defined, active 

Serial0/0/0 (up): ip 10.0.0.3 dlci 103, static, CISCO, status defined, active 


采用 同样 的 方法 设置 R2 和 R3 路 由 器 。 
R24 show frame- relay map // 查 看 R2 路 由 器 中 的 帧 中 继 静 态 映 射 表 


Serial0/0/0 (up): ip 10.0.0.1 dlci 201, static, CISCO, status defined, active 
Serial0/0/0 (up): ip 10.0.0.2 dlci 201, static, CISCO, status defined, active 
Serial0/0/0 (up): ip 10.0.0.3 dlci 201, static, CISCO, status defined, active 
R3f show frame- relay map // 查 看 R3 路 由 器 中 的 帧 中 继 静 态 映 射 表 
Serial0/0/0 (up): ip 10.0.0.1 dlci 301, static, CISCO, status defined, active 
Serial0/0/0 (up): ip 10.0.0.2 dlci 301, static, CISCO, status defined, active 
Serial0/0/0 (up): ip 10.0.0.3 dlci 301, static, CISCO, status defined, active 


// 均 为 手动 指定 的 对 端的 IP 地 址 和 本 端的 DLCI 号 形成 映射 关系 


建立 好 静态 映射 后 就 可 以 进行 网 络 连 通 性 测试 了 。3 台 路 由 器 互相 ping, 结 果 是 通 的 。 
3) 帧 中 继 子 端口 
水 平分 割 是 一 种 避免 路 由 环 出 现 的 技术 ,也 就 是 从 一 个 端口 收 到 的 路 由 更 新 不 会 把 这 
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条 路 由 更 新 从 这 个 端口 再 发 送出 去 。 水 平分 割 在 Hub-and-Spoke 结构 帧 中 继 网 络 中 会 带 
来 问题 。Spoke 路 由 器 中 的 路 由 更 新 不 能 很 好 地 被 Hub 路 由 器 进行 转发 ,导致 网 络 路 由 信 
息 不 能 得 到 更 新 。 解 决 的 方法 有 3 种 : 四 当 把 一 个 端口 用 Cisco 类 型 封装 的 时 候 ,Cisco 默 
认 是 关闭 水 平分 割 的 。@ 手 动 关闭 某 个 端口 的 水 平分 割 功能 ,命令 是 no ip split。@ 使 用 子 
端口 。 子 端口 有 两 种 类 型 ,point-to-point 和 point-to-multipoint。 这 里 介绍 point-to-point, 
在 路 由 器 RI 上 创建 两 个 点 到 点 子 端口 ,分 别 与 路 由 器 R2 和 路 由 器 R3 上 创建 的 点 到 点 子 
端口 形成 点 到 点 连接 ,拓扑 结构 采用 Hub-and-Spoke 结构 ,整个 网 络 运 行 RIP 路 由 协议 。 

具体 为 : 在 路 由 器 RI 的 S0/0/0 上 创建 两 个 子 端 口 ,分 别 为 S0/0/0. 102 和 S0/0/0. 
103。 在 R2 路 由 器 的 S0/0/0 上 创建 子 端口 S0/0/0. 201, 在 R3 路 由 器 的 S0/0/0 上 创建 子 
端口 S0/0/0. 301, 最 终 使 不 同 的 PVC 逻辑 上 属于 不 同 的 子 网 。 将 路 由 器 RI 的 S0/0/0. 
102 和 路 由 器 R2 的 S0/0/0 上 子 端 口 S0/0/0. 201 连接 的 PVC 的 网 络 地 址 设置 为 10. 0. 0. 
0/24 ,将 路 由 器 RI 的 So/0/0. 103 和 路 由 器 R3 的 S0/0/0 上 子 端 口 S0/0/0. 301 连接 的 
PVC 的 网 络 地 址 设置 为 12. 0. 0. 0/24。 


R1 (config)# interface serial 0/0/0 

Rl (config- if)#no ip add 

Rl (config- if)#no shu 
Rl(config-if)$encapsulation frame- relay 

R2 (config)f interface serial 0/0/0 

R2 (config- if)#no ip add 

R2 (config- if)# no shu 

R2 (config- if)#encapsulation frame- relay 

R3 (config)# interface serial 0/0/0 

R3(config- if)#no ip add 

R3(config- if)# no shu 

R3 (config- if)# encapsulation frame- relay 
RL(config)# interface serial 0/0/0.102 point-to-point 
R1 (config- subif)# ip address 10.0.0.1 255.255.255.0 

R1 (config- subif)# frame- relay interface- dlci 102 


R1 (config- subif)#exit 

Rl (config)# interface serial 0/0/0.103 point-to-point 
Rl(config- subif)# ip address 12.0.0.1 255.255.255.0 

R1 (config- subif)# frame- relay interface- dici 103 


R2 (config)# interface serial 0/0/0.201 point-to-point 
R2 (config- subif)# ip address 10.0.0.2 255.255.255.0 
R2 (config- subif)# frame- relay interface- dlci 201 


R3(config)# interface serial 0/0/0.301 point-to-point 
R3 (config- subi f)£ ip address 12.0.0.2 255.255.255.0 


// 进 入 路 由 器 R1 so/0/0 端口 

// 去 掉 端口 的 TP 地址 

// 激 活该 端口 

// 配 置 帧 中 继 封 装 格式 

// 进 入 路 由 器 R2 的 s0/0/0 端口 
// 去 掉 端口 的 IP 地 址 

// 激 活该 端口 

// 配 置 帧 中 继 封 装 格式 

// 进 入 路 由 器 R3 的 so/0/0 端口 

// 去 掉 端口 的 IP 地 址 

// 激 活该 端口 

// 配 置 帧 中 继 封 装 格式 

// 进 入 s0/0/0.102 点 到 点 子 端口 

// 为 子 端 口 配置 IP 地 址 

// 点 到 点 的 子 端口 ,只 要 指定 从 
//DLcT 号 为 102 的 通道 出 去 就 可 以 直 
// 接 到 达 对 方 

// 退 出 

// 进 入 S0/0/0.103 点 到 点 子 端 口 

// 为 子 端 口 配置 IP 地 址 

// 点 到 点 的 子 端口 ,只 要 指定 从 
//DLCI 号 为 103 的 通道 出 去 就 可 以 直 
// 接 到 达 对 方 

// 进 入 s0/0/0.201 点 到 点 子 端 口 

// 为 子 端口 配置 IP 地 址 

// 点 到 点 的 子 端 口 ,只 要 指定 从 DLCI 
// 号 为 201 的 通道 出 去 就 可 以 直接 到 
// 达 对 方 

// 进 入 s0/0/0.301 点 到 点 子 端口 

// 为 子 端口 配置 1p E 
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R3 (config- subif)# frame- relay interface- dlci 301 // 点 到 点 的 子 端口 ,只 要 指定 从 
//DLcT 号 为 301 的 通道 出 去 就 可 以 直 
// 接 到 达 对 方 

Rl# show frame- relay map // 查 看 R1 路 由 器 中 的 帧 中 继 映 射 表 


Serial0/0/0.102 (up): point-to-point dlci, dlci 102, broadcast, status defined, active 
Serial0/0/0.103 (up): point-to-point dlci, dlci 103, broadcast, status defined, active 


R2# show frame- relay map // 查 看 R2 路 由 器 中 的 帧 中 继 映 射 表 
Serial0/0/0.201 (up): point-to-point dlci, dlci 201, broadcast, status defined, active 
R3 show frame- relay map // 查 看 RB3 路 由 器 中 的 帧 中 继 映射 表 


Serial0/0/0.301 (up): point-to- point dlci, dlci 301, broadcast, status defined, active 


以 上 输出 表明 路 由 器 使 用 了 点 对 点 子 端口 ,在 每 条 映射 条 目 中 ,只 看 到 该 子 端口 下 的 


DLCI, 没 有 对 端的 TP 地 址 。 


4) 帧 中 继 上 的 路 由 协议 的 配置 ,使 整个 网 络 互 联 起 来 
通过 帧 中 继 云 将 3 个 不 同 网 段 连接 起 来 ,需要 在 帧 中 继 上 配置 路 由 协议 。 下 面 以 配置 


RIP 路 由 协议 为 例 ,实现 不 同 网 段 的 互联 。 


R1 (config)# router rip // 启 用 动态 路 由 协议 RIP 
R1 (config- router)#version 2 // 启 用 版 本 2 

R1 (config- router)#no au // 取 消 自动 汇总 功能 

R1 (config- router)#network 10.0.0.0 

R1 (config- router)#network 12.0.0.0 

R1 (config- router)#network 1.0.0.0 

R2# config t 

R2 (config)# router rip // 启 用 动态 路 由 协议 RIP 
R2 (config- router)# version 2 // 启 用 版 本 2 

R2 (config- router)# no auto- summary // 取 消 自动 汇总 功能 

R2 (config- router)#network 10.0.0.0 

R2 (config- router)#network 2.0.0.0 

R3f config t 

R3 (config)# router rip // 启 用 动态 路 由 协议 RIP 
R3 (config- router)# version 2 // 启 用 版 本 2 

R3 (config- router)# no auto- summary // 取 消 自动 汇总 功能 


R3 (config- router)#network 12.0.0.0 
R3 (config- router)# network 3.0.0.0 


4. 实验 效果 验证 


通过 R1 # show ip route 命令 查看 路 由 表 , 获 得 了 动态 路 由 信息 ,可 以 确定 整个 网 络 互 


联 ,通过 PC1 ping PC2 对 结果 进行 验证 。 


PC»ping 2.2.2.2 


Request timed out. 


Reply from 2.2.2.2: bytes-32 time-125ms TTL- 126 
Reply from 2.2.2.2: bytes-32 time- 94ms TTL- 126 
Reply from 2.2.2.2: bytes-32 time-125ms TTL- 126 
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结果 是 联通 的 。 
PC1 和 PC3 连通 性 测试 结果 如 下 。 


PC»ping 3.3.3.3 
Pinging 3.3.3.3 with 32 bytes of data: 

Request timed out. 

Reply from 3.3.3.3: bytes-32 time-188ms TTL- 125 
Reply from 3.3.3.3: bytes-32 time-172ms TTL- 125 
Reply from 3.3.3.3: bytes-32 time- 187ms TTL- 125 


结果 表明 ,该 所 大 学 的 3 个 不 同 校区 通过 帧 中 继 网 络 将 其 互联 起 来 ,实现 资源 共享 。 
帧 中 继 已 经 成 为 应 用 广泛 的 WAN 协议 之 一 ,通过 Packet Tracer 仿真 软件 ,可 以 模拟 
真实 的 帧 中 继 网 络 ,使 每 个 学 生 能 够 独立 完成 帧 中 继 网 络 的 组 建 配置、 验收 等 整个 网 络 工 


10.4 VPN 技术 


10.4.1 VPN 类 型 


VPN HJ Virtual Private Network ,是 “虚拟 专用 网 络 ” 的 意思 。 通 过 特殊 的 加 密 通 信 协 
W ,将 连接 在 Internet 上 位 于 不 同 地 理 位 置 的 两 个 或 多 个 企业 内 部 网 之 间 建 立 一 条 专 有 的 
通信 线路 。 实 现 VPN 通信 的 方式 有 多 种 ,常见 的 有 IPSec VPN 等 


10.4.2 IPSec VPN 


IPSec VPN 即 采用 IPSec 协议 实现 远程 接 入 的 一 种 VPN 技术 。IPSec 即 Internet 
Protocol Security, 是 由 Internet Engineering Task Force (IETF) 定义 的 安全 标准 框架 ,用 
以 提供 公用 和 专用 网 络 的 端 对 端 加 密 和 验证 服务 。 

IPSec 协议 不 是 一 个 单独 的 协议 ,给 出 了 应 用 于 IP 层 上 网 络 数据 安全 的 一 整套 体系 结 
构 , 包 括 网 络 认 证 协议 认证 头 (Authentication Header. AH)、 封 装 安全 载荷 (Encapsulating 
Security Payload, ESP) .因特网 密 钥 交换 (Internet Key Exchange,IKE) 和 用 于 网 络 认证 及 加 密 
的 一 些 算法 等 。 其 中 ,AH 协议 和 ESP 协议 用 于 提供 安全 服务 ,IKE 协议 用 于 密 钥 交 换 。 

IPSec VPN 的 配置 过 程 如 下 。 

(1) 网 络 拓扑 结构 设计 。 

IPSec VPN 的 配置 仿真 环境 为 : 苏州 大 学 文正 学 院 远离 苏州 大 学 本 部 实行 两 地 办 学 ， 
两 地 都 有 规模 庞大 的 校园 网 络 。 由 于 两 地 相距 很 远 ,导致 校园 网 联网 困难 ,这 给 日 常 的 工作 
带 来 了 麻烦 。 现 在 要 求 使 用 IPSec VPN 技术 将 两 地 校园 网 安全 地 连接 起 来 ,使 两 地 的 校园 
网 络 构成 一 个 大 的 网 络 。IPSec VPN 配置 实验 拓扑 结构 图 如 图 10.6 所 示 。 

整个 网 络 工程 ,结构 上 总 体 分 为 3 大 块 , 分 别 为 苏州 大 学 本 部 校园 网 ,文正 学 院 校 园 网 
以 及 Internet 网 络 。 两 部 分 校园 网 均 连 入 Internet 网 络 。 为 了 完成 该 实验 ,设计 了 如 图 10. 2 
所 示 的 网 络 拓扑 图 ,图 10.6 中 ,路 由 器 RI 为 苏州 大 学 本 部 的 出 口 路 由 器 ,路 由 器 RA 为 文正 
学 院 的 出 口 路 由 器 ,路 由 器 R2 和 R3 属于 电信 部 门 的 路 由 器 ,用 它们 模拟 Internet 网 络 。 
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图 10.6 IPSec VPN 配置 实验 拓扑 结构 图 


苏州 大 学 本 部 和 文正 学 院 的 内 部 网 络 中 均 连 接 了 终端 设备 ,用 于 测试 网 络 的 连通 性 。 在 文 


正 学 院内 部 网 络 中 还 放置 了 服务 器 。 


在 Cisco Packet Tracer 模拟 软件 中 构建 如 图 10. 6 所 示 的 网 络 拓扑 图 ,包括 4 台 2811 
路 由 器 、 两 台 2960 交换 机 、 两 台 PC 和 一 台 服 务 器 。 默 认 的 2811 路 由 器 是 没有 广域网 模块 
的 ,需要 添加 。 步 又 为 : @ 单 击 路 由 器 ,弹出 如 图 10.7 所 示 的 窗口 ,关闭 电源 。@ 在 
Physical 区 拖 动 WIC-2 T 模块 放 和 人 模块 槽 后 释放 鼠标 。G@ 重 新 打开 电源 。 采 用 同样 的 方法 


添加 WIC-2T 模块 到 其 他 路 由 器 。 


Physical | Config | cu | 


erare 


^ Physical Device View 


Zoom In [Original Size —) Zoom Out 
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Removing Modules: Drag the module from the x B 


图 10.7 添加 /删除 模块 窗口 


接 下 来 根据 图 10. 6 进行 网 络 连 线 。 
(2) IP 地 址 规划 。 
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规划 IP 地 址 时 ,将 校园 网 内 部 设置 为 私有 IP 地 址 ,苏州 大 学 本 部 设置 为 172. 16. 1. 0/ 
24, 文 正 学 院 设置 为 172. 16. 2. 0/24。 苏 州 大 学 本 部 和 Internet 之 间 的 IP 网 段 设置 为 202. 
96. 134. 0/24 ,文正 学 院 和 Internet 网 之 间 的 IP 网 段 设置 为 61. 0. 0. 0/24。 两 个 外 网 路 由 器 
之 间 的 IP 网 络 设置 为 218. 30. 1.0/24, 具 体 如 图 10. 6 所 示 。 

接 下 来 为 终端 机 器 设置 IP 地 址 ,具体 为 : 苏州 大 学 本 部 PCI 的 IP 地 址 设置 为 172. 
168. 1. 2, Fd fi Jy 255. 255. 255. 0 ,网 关 地 址 设置 为 172. 16. 1. 1。 文正 学 院 PC2 的 IP 
地 址 设置 为 172. 16. 2. 2, 子 网 掩 码 为 255. 255. 255. 0, 网 关 地 址 设置 为 172. 16. 2. 1 。 
Serverl 的 IP 地 址 设置 为 172. 16. 2. 3 , 子 网 掩 码 为 255. 255. 255. 0, 网 关 地 址 设置 为 172. 
16.2.1, 


(3) 具体 实验 配置 。 
(D 模拟 Internet, 


Router# config t 

Router (config) # hostname R2 

R2 (config)f interface serial 0/0/0 

R2 (config- if)#no shu 

R2 (config- if)f clock rate 64000 

R2 (config- if)# ip address 218.30.1.1 255.255.255.0 
R2(config-if)fexit 

R2 (config)# interface serial 0/0/1 

R2 (config-if)fip address 202.96.134.2 255.255.255.0 

R2 (config- if)# no shu 

R2 (config- if)# clock rate 64000 
R2(config-if)fexit 

R2 (config)# ip route 61.0.0.0 255.255.255.0 218.30.1.2 
Router# config t 

Router (config)$fhostname R3 

R3(config)f interface serial 0/0/0 

R3(config- if)# no shu 

R3(config- if)f ip address 218.30.1.2 255.255.255.0 
R3 (config- if)$ clock rate 64000 
R3(config-if)fexit 

R3 (config)f interface serial 0/0/1 

R3(config- if)# ip address 61.0.0.1 255.255.255.0 
R3(config-if)$no shu 

R3 (config- if)#clock rate 64000 
R3(config-if)fexit 

BR3 (config)# ip route 202.96.134.0 255.255.255.0 218.30.1.1 


经 过 以 上 设置 ,模拟 的 Internet 就 组 建 起 来 了 。 
© 对 路 由 器 R1 和 RA 进行 IPSec VPN 设置 。 
首先 设置 路 由 器 RI. 


Router# config t 


// 进 入 全 局 配置 模式 
// 为 路 由 器 命名 
// 进 入 路 由 器 端口 s0/0/0 
// 激 活路 由 器 端口 So/0/0 
// 设 置 端口 的 时 钟 频率 为 64000 
// 设 置 端口 的 IP 地 址 
// 退 出 
// 进 入 路 由 器 端口 s0/0/1 
// 为 路 由 器 端口 s0/0/1 设 置 IP 地 址 
// 激 活 s0/0/1 端口 
// 设 置 端 口 s0/0/1 的 时 钟 频率 
// 退 出 
// 为 路 由 器 R2 配 置 静态 路 由 
// 进 入 第 三 台 路 由 器 的 全 局 配置 模式 
// 为 路 由 器 命名 
// 进 入 路 由 器 的 端口 s0/0/0 
// 激 活 端口 so/0/0 
// 为 路 由 器 端口 So/o/0 设 置 TP 地址 
// 设 置 端口 的 时 钟 频率 为 64000 
// 退 出 
// 进 入 路 由 器 端口 So/O/1 
// 设 置 端口 的 IP 地 址 
// 激 活 端口 
// 设 置 端口 的 时 钟 频率 为 64000 
// 退 出 
// 为 路 由 器 RB3 设 置 静态 路 由 


// 进 入 苏州 大 学 本 部 连 入 Internet 路 由 器 的 全 局 配置 模式 
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Router (config)#hostname Rl // 将 路 由 器 命名 为 RI 

R1 (config)# interface serial 0/0/1 // 进 入 路 由 器 的 端口 so/0/1 

R1 (config- if)# no shu // 激 活路 由 器 的 S0/0/1 端口 
Rl(config-if)Kip address 202.96.134.1 255.255.255.0 // 设 置 端口 的 I 地址 

Rl (config- if)#exit // 退 出 

R1 (config)# interface fastEthernet 0/0 // 进 入 路 由 器 的 端口 Fo/0 
Rl(config-if)fip address 172.16.1.1 255.255.255.0 // 为 路 由 器 的 端口 F0/0 设 置 ITP 地 址 
R1 (config- if)#no shu // 激 活路 由 器 的 Fo/0 端口 
Rl(config-if)fexit // 退 出 

R1 (config)# ip route 0.0.0.0 0.0.0.0 202.96.134.2 // 为 路 由 器 Rl 设置 默认 路 由 


Rl (config)# crypto isakmp policy 10 
// 创 建 一 个 isap RE ,编号 为 10。 可 以 有 多 个 策略 
Rl (config- isakmp)$ hash md5 
// 配 置 isakmp 采 用 什么 HASH 算 法 ,可 以 选择 SHA 和 MD5, 这 里 选择 MD5 
Rl (config- isakmp) authentication pre- share 
// 配 置 isakmp 采 用 什么 身份 认证 算法 ,这 里 采用 预 共享 密码 。 如 果 有 CA 服务 器 ,也 可 以 
// 采 用 cA( 电 子 证 书 ) 进 行 身份 认证 
R1 (config- isakmp) # group 5 
// 配 置 isap 采用 什么 密 钥 交换 算法 ,这 里 采用 DH group5, 可 以 选择 1,2 815 
R1 (config- isakamp)# exit // 退 出 
R1 (config)# crypto isakmp key cisco address 61.0.0.2 
// 配 置 对 等 体 61.0.0.2 的 预 共 享 密码 为 cisco, 双 方 配置 的 密码 须 一 致 
R1 (config)# access- list 110 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 
// 定 义 一 个 ACL, 用 来 指明 什么 样 的 流量 要 通过 VPN 加 密 发 送 ,这 里 限定 从 苏州 大 学 
// 本 部 发 出 到 达 文正 学 院 的 流量 才 进行 加 密 ,其 他 流量 (如 ,到 Internet) 不 加 密 
R1 (config)# crypto ipsec transform- set TRAN esp- des esp-md5- hmac 
// 创 建 一 个 IPSec 转换 集 , 名 称 为 TRAN, 该 名 称 本 地 有 效 , 这 里 的 转换 集 采 用 Esp 封装 ， 
// 加 密 算法 为 aEs,HasH 算 法 为 SHA。 双 方 路 由 器 要 有 一 个 参数 一 致 的 转换 集 
R1 (config)# crypto map MAP 10 ipsec- isakmp 
// 创 建 加 密 图 ,名 为 MAP, 10 为 该 加 密 图 的 其 中 之 一 的 编号 ,名 称 和 编号 都 本 地 有 效 ， 
// 如 果 有 多 个 编号 ,路 由 器 将 从 小 到 大 逐一 匹配 
R1 (config- crypto-map)# set peer 61.0.0.2 // 指 明 路 由 器 对 等 体 为 路 由 器 R4 
RL(configr crypto-map)# set transform- set TRAN // 指 明 采 用 之 前 已 经 定义 的 转换 集 TRAN 
R1 (config- crypto- map) # match address 110 


/ AR WR VC RE acr 为 110 的 定义 流量 就 是 veu 流量 


R1 (config- crypto-map)# exit // 退 出 

R1 (config) # interface serial 0/0/1 // 进 入 端口 S0/0/1 

R1 (config- if)# crypto map MAP // 在 端口 上 应 用 之 前 创建 的 加 密 图 MAP 
配置 路 由 器 R4。 


Router# config t 
// 进 入 文正 学 院 连 人 Internet 的 路 由 器 的 全 局 配置 模式 


Router (config)#hostname R4 // 为 该 路 由 器 命名 为 R4 
R4 (config)# interface serial 0/0/1 // 进 入 路 由 器 的 端口 so/0/1 
R4 (config- if)# ip address 61.0.0.2 255.255.255.0 // 为 路 由 器 端口 so/0/1 配 置 IP 地 址 
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R4 (config-if)£no shu // 激 活路 由 器 的 端口 s0/0/1 

R4 (config-if)fexit // 退 出 

R4 (config)# interface fastEthernet 0/0 // 进 入 路 由 器 RA 的 以 太 网 端口 Fo/0 
R4 (config-if)£no shu // 激 活 以 太 网 口 

R4 (config-if)fip address 172.16.2.1 255.255.255.0 // 为 以 太 网 口 配 置 TP 地 址 

R4 (config- if)#no shu // 激 活 以 太 网 口 

R4 (config-if)fexit // 退 出 

R4(config)# ip route 0.0.0.0 0.0.0.0 61.0.0.1 // 为 路 由 器 RL 设置 默认 路 由 

R4 (config) # crypto isakmp policy 10 // 创 建 一 个 isakmp 策略 ,编号 为 10。 可 以 有 多 个 策略 


R4 (config- isakmp)f hash md5 

// 配 置 isakmp KH fF 4 HASH 算 法 ,可 以 选择 SHA 和 MD5, 这 里 选择 MD5 

R4 (config- isakmp) # authentication pre- share 

// 配 置 isakmp 采 用 什么 身份 认证 算法 ,这 里 采用 预 共 享 密码 。 如 果 有 CA 服务 器 ,也 可 以 
// 采 用 cA( 电 子 证 书 ) 进 行 身份 认证 

R4 (config- isakmp) # group 5 

// 配 置 isalkmp 采 用 什么 密 钥 交换 算法 ,这 里 采用 DH group5, 可 以 选择 1.2 和 5 

R4 (config- isakmp)#exit // 退 出 

R4 (config)# crypto isakmp key cisco address 202.96.134.1 

// 配 置 对 等 体 61.0.0.2 的 预 共享 密码 为 cisco, 双 方 配置 的 密码 须 一 致 

R4 (config)#access- list 110 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 

// 定 义 一 个 AcL, 用 来 指明 什么 样 的 流量 要 通过 VEN 加 密 发 送 ,这 里 限定 的 是 从 文正 

// 学 院 发 出 到 达 苏 州 大 学 本 部 的 流量 才 进 行 加 密 , 其 他 流量 (如 ,到 Internet) 不 加 密 

R4 (config)# crypto ipsec transform- set TRAN esp- des esp- md5- hmac 

// 创 建 一 个 IPsec 转换 集 ,名称 为 TRAN, 该 名 称 本 地 有 效 , 这 里 的 转换 集 采 用 EsP 封 装 ， 
// 加 密 算法 为 AES, HASH 算 法 为 SHA。 双 方 路 由 器 要 有 一 个 参数 一 致 的 转换 集 

R4 (config)# crypto map MAP 10 ipsec- isakmp 

// 创 建 加 密 图 ,名 为 MAP,10 为 该 加 密 图 的 其 中 之 一 的 编号 ,名 称 和 编号 都 本 地 有 效 ， 

// 如 果 有 多 个 编号 ,路 由 器 将 从 小 到 大 逐一 匹配 

R4 (config- crypto-map)# set Peer 202.96.134.1 // 指 明 路 由 器 对 等 体 为 路 由 器 R1 
R4 (config- crypto-map)# set transform- set TRAN // 指 明 采 用 之 前 已 经 定义 的 转换 集 TRAN 
R4 (config- crypto- map)#match address 110 

// 指 明 匹 配 ACL 为 110 的 定义 流量 就 是 VEN 流 量 


R4 (config- crypto-map)#exit // 退 出 
R4 (config)# interface serial 0/0/1 // 进 入 路 由 器 的 端口 s0/0/1 
R4 (config- if)# crypto map MAP // 在 端口 上 应 用 之 前 创建 的 加 密 图 MAP 


(4) 实验 的 运行 与 测试 .实验 效果 验证 。 
经 过 以 上 的 配置 过 程 ,对 实验 结果 进行 测试 。 
从 苏州 大 学 本 部 的 PC ping 文正 学 院 的 服务 器 S1 ,结果 如 下 。 


Packet Tracer PC Command Line 1.0 

PC»ping 172.16.2.3 

Pinging 172.16.2.3 with 32 bytes of data: 

Request timed out. 

Request timed out. 

Reply from 172.16.2.3: bytes-32 time-157ms TTL-126 
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Reply from 172.16.2.3: bytes- 32 time- 203ms TTL- 126 
从 苏州 大 学 本 部 的 PC ping 文正 学 院 的 PC2 ,结果 如 下 。 


PC»ping 172.16.2.2 

Pinging 172.16.2.2 with 32 bytes of data: 

Request timed out. 

Reply from 172.16.2.2: bytes-32 time= 203ms TTL- 126 

Reply from 172.16.2.2: bytes-32 time-219ms TTL- 126 

Reply from 172.16.2.2: bytes-32 time- 203ms TTL- 126 

以 上 结果 表明 ,苏州 大 学 本 部 已 经 和 文正 学 院 能 够 实现 互联 互通 。 

Packet Tracer 软件 可 以 帮助 我 们 仿真 现实 中 的 网 络 工程 项 目 ,完成 真实 网 络 工程 项 目 
从 分 析 、 设 计 、 配 置 , 测 试 以 及 运行 维护 等 一 系列 过 程 ,在 资金 有 限 以 及 真实 实 训 环 境 难以 组 
建 的 情况 下 ,能 够 达到 很 好 的 教学 效果 。 


10.4.3 GRE over IPSec VPN 


在 信息 化 带动 工业 化 ,工业 化 促进 信息 化 的 大 潮 下 ,各 企 事业 单位 越 来 越 重视 信息 化 水 
平 的 建设 , 随 着 公司 规模 不 断 扩 大 ,以 及 自身 发 展 的 需要 , 越 来 越 多 的 单位 在 异地 组 建 了 分 
公司 。 为 了 将 总 公司 和 分 公司 的 网 络 统一 起 来 ,以 达到 资源 共享 的 目的 ,需要 将 异地 的 局 域 
网 络 进行 互联 ,在 互联 时 需要 共享 路 由 信息 ,GRE 隧道 技术 可 以 实现 。 在 进行 异地 网 络 互 
联 时 ,同样 需要 考虑 数据 传输 的 安全 问题 ,为 了 更 安全 地 传输 公司 内 部 的 保密 数据 ,可 以 通 
过 IPSec VPN 技术 实现 。 

基于 GRE over IPSec VPN 技术 实现 异地 网 络 互联 ,能 够 实现 分 公司 和 总 公司 之 间 的 
路 由 信息 共享 和 信息 安全 传输 双重 功能 ,被 广大 企 事业 单位 所 接受 。 

GRECGeneric Routing Encapsulation) 即 通用 路 由 封装 协议 ,是 对 某 些 网 络 层 协议 的 数 
据 报 进行 封装 ,使 这 些 被 封装 的 数据 报 能 够 在 另 一 个 网 络 层 协议 中 传输 , 它 采 用 了 一 种 被 称 
为 Tunnel( 隧 道 ) 的 技术 。GRE 通常 用 来 构建 站 点 到 站 点 的 VPN 隧道 。 

GRE 技术 的 优 缺 点 : 它 最 大 的 优点 是 可 以 对 多 种 协议 、 多 种 类 型 的 报 文 进行 封装 ,并 
且 能 够 在 隧道 中 进行 传输 。 它 的 缺点 是 对 传输 的 数据 不 进行 加 密 ,也 就 是 数据 在 传输 的 过 
程 中 是 不 安全 的 。 

IPSec(IP Security) 协 议 族 为 TP 数据 包 提供 了 高 质量 的 .可 互相 操作 的 .基于 密码 学 的 
安全 保护 。 它 能 够 保证 IP 数据 包 传 输 时 的 安全 性 。IPSec 协议 不 是 一 个 单独 的 协议 , 它 包 
1& AH,ESP fI IKE 3 个 协议 ,其 中 AH 协议 和 ESP 协议 为 安全 协议 IKE 协议 为 密 钥 管理 
协议 。IPSec VPN 适用 于 LAN to LAN 的 局 域 网 互联 。 

IPSec 技术 的 优 缺 点 : 它 的 优点 是 能 够 提供 安全 的 数据 传输 , 它 的 缺点 是 不 能 对 网 络 中 
的 组 播报 文 进行 封装 。 也 就 是 说 ,不 能 在 IPSec 协议 封装 隧道 中 传输 常见 的 动态 路 由 协议 
报 文 。 

综合 这 两 种 技术 ,利用 GRE 技术 对 用 户 数据 和 动态 路 由 协议 报 文 进行 隧道 封装 ,并且 
能 很 好 地 提供 一 个 真正 意义 上 的 点 对 点 的 隧道 ,然后 使 用 IPSec 技术 保护 GRE 隧道 的 安 
全 ,这 样 就 构成 了 GRE over IPSec VPN 技术 。 

接 下 来 通过 仿真 一 个 实验 环境 具体 实现 GRE over IPSec VPN 过 程 。 
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D 网 络 拓扑 结构 分 析 、 设 计 

首先 介绍 一 下 仿真 网 络 环境 的 基本 状况 : 一 家 公司 在 上 海 成 立 了 总 公司 , 随 着 公司 业 
务 的 发 展 ,北京 成 立 了 分 公司 ,两 地 均 有 各 自 独 立 的 局 域 网 络 。 由 于 分 公司 要 远程 访问 总 公 
司 的 各 种 内 部 网 络 资源 ,如 FTP 服务 器 、 考 勤 系 统 、 人 事 系统 、 财 务 系 统 以 及 内 部 Web 网 站 
等 ,需要 将 两 地 独立 的 局 域 网 络 互联 起 来 。 将 相距 较 远 的 局 域 网 进行 互联 ,需要 借助 
Internet, 

该 网 络 的 拓扑 结构 总 体 分 为 3 个 部 分 : 上 海 总 公司 、 北 京 分 公司 以 及 连接 两 地 的 
Internet, HH 4 台 路 由 器 和 两 台 计算 机 简单 描述 该 网 络 拓扑 。 其 中 ,PC0 表示 上 海 总 公司 
的 一 台 普通 的 计算 机 ,路 由 器 RI 为 上 海 总 公司 的 出 口 路 由 器 ,路 由 器 R3 为 上 海 总 公司 连 
接 的 Internet 服务 提供 商 的 路 由 器 。PCI1 表示 北京 分 公司 的 一 台 普通 的 计算 机 ,路 由 器 R2 
为 北京 分 公司 的 出 口 路 由 器 ,路 由 器 R4 为 北京 分 公司 连接 的 Internet 服务 提供 商 的 路 由 
器 。 上 海 总 公司 的 Internet 服务 提供 商 和 北京 分 公司 的 Internet 服务 提供 商 通过 Internet 
互联 起 来 。 具 体 的 网 络 拓扑 图 如 图 10. 8 所 示 。 


3.3.3.0/30 
S0/0/0 


Internet. 


上 海 总 公司 北京 总 公司 


192.168.2.0/24 
PC-PT PC-PT 
PCO PCI 
RI Tunnell: 10.1.1.1/24 R2 Tunnell: 10.1.1.2/24 


图 10.8 GRE over IPSec VPN 实现 异地 网 络 互联 网 络 拓扑 图 


2) 网 络 地 址 规划 

由 于 上 海 总 公司 和 北京 分 公司 的 内 部 局 域 网 规模 均 不 大 , 故 将 它们 规划 为 C 类 私有 地 
址 ,上 海 总 公司 的 网 络 地 址 规划 为 192. 168. 1. 0/24 ,北京 分 公司 的 网 络 地 址 规划 为 192. 
168. 2. 0/24。 上 海 总 公司 出 口 路 由 器 连接 Internet 服务 提供 商 的 网 络 地 址 为 1. 1. 1. 0/30， 
北京 分 公司 为 2. 2. 2. 0/30, 上 海 和 北京 之 间 的 网 络 地 址 为 3. 3. 3. 0/30。 

由 于 两 地 之 间 要 借助 GRE 隧道 进行 互联 ,所 以 路 由 器 RI 连接 路 由 器 R2 的 隧道 的 地 
址 为 10. 1. 1. 1/24, 路 由 器 R2 连接 路 由 器 R1 的 隧道 的 地 址 为 10. 1. 1. 2/24。 

3) 具体 实现 过 程 

(D 配置 RI 5 R2 的 Internet 连通 性 。 

对 路 由 器 R1、R2、R3 以 及 R4 进行 基本 配置 ,包括 端口 地 址 的 配置 .端口 的 激活 以 及 广 
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域 网 DCE 端口 的 时 钟 配置 。 具 体 端 口 地 址 配置 见 表 10. 2。 
表 10.2 具体 端口 地 址 分 配 


R1 R2 R3 R4 PCO PCI 
F0/0 1. 1. 1. 1/30 2. 2: 2. 2/30 1. 1. 1. 2/30 | 2. 2. 2. 1/30 | IP 地 址 : IP 3b hl : 
192. 168. 1. 2/24| 192. 168. 2. 2/24 
F0/1 192. 168. 1. 1/24 | 192. 168. 2. 1/24 Ri pi 
á á 7 默认 网 关 : | 默认 网 关 ， 
S0/0/0 3.3.3.1/30 | 3.3.3.2/30 | 192.168.1.1 192. 168. 2. 1 


(2) 配置 路 由 ,使 得 Internet 连通 。 


首先 在 RI 和 R2 上 配置 默认 路 由 ,使 非 内 网 数据 包 指 向 Internet, 


Rl (config)# ip route 0.0.0.0 0.0.0.0 1.1.1.2 
R2 (config)f ip route 0.0.0.0 0.0.0.0 2.2.2.1 


其 次 在 R3 和 RA 上 配置 静态 路 由 ,使 其 互相 连通 。 


R3(config)# ip route 2.2.2.0 255.255.255.252 3.3.3.2 
R4 (config)# ip route 1.1.1.0 255.255.255.252 3.3.3.1 


// 配 置 R1 指向 Internet 的 默认 路 由 
// 配 置 R2 指向 Internet 的 默认 路 由 


// 配 置 R3 指向 R4 的 静态 路 由 
// 配 置 R4 指向 R3 的 静态 路 由 


最 后 测试 连通 性 : 在 路 由 器 RI 上 ping 路 由 器 R2 的 端口 Fo/0 的 IP 地 址 2. 2. 2. 2, 


结果 是 通 的 。 


CD 对 路 由 器 R1 和 R2 进行 GRE 隧道 配置 。 
首先 配置 路 由 器 R1。 


Rl (config)# interface tunnel 1 

R1 (config- if)# ip address 10.1.1.1 255.255.255.0 
Rl(config- if)# tunnel source fastEthernet 0/0 
Rl(config- if)f tunnel destination 2.2.2.2 


其 次 配置 路 由 器 R2. 


R2 (config)# interface tunnel 1 

R2 (config-if)fip address 10.1.1.1 255.255.255.0 
R2 (config- if)# tunnel source fastEthernet 0/0 
R2 (config-if)$ tunnel destination 1.1.1.1 


(4) 在 Rl 和 R2 上 配置 动态 路 由 协议 。 
首先 配置 路 由 器 RI. 


R1 (config)# router rip 

R1 (config- router)# version 2 

R1 (config- router)f£no auto- summary 

R1 (config- router)# network 192.168.1.0 
R1 (config- router)fnetwork 10.0.0.0 


其 次 配置 路 由 器 R2. 


R2 (config)# router rip 


// 在 路 由 器 R1 上 创建 隧道 1 
// 为 路 由 器 R1 的 隧道 1 设置 IP 地 址 
// 指 定 隧道 的 源 端口 为 F0/0 
// 指 定 隧道 的 目的 端口 地 址 为 2.2.2.2 


// 在 路 由 器 R2 上 创建 隧道 1 
// 为 路 由 器 R2 的 隧道 1 设置 IP 地 址 
// 指 定 隧道 的 源 端口 为 F0/0 
// 指 定 隧道 的 目的 端口 地 址 为 1.1.1.1 


// 在 路 由 器 RL 上 启用 动态 路 由 协议 RIP 
// 启 用 动态 路 由 协议 RIP 的 版 本 2 

// 取 消 自动 汇总 功能 

// 宣 告 网 络 地 址 192.168.1.0 

// 宣 告 网 络 地址 10.0.0.0 


// 在 路 由 器 R2 上 启用 动态 路 由 协议 RIP 
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R2 (config- router)# version 2 // 启 用 动态 路 由 协议 RIP 的 版 本 2 
R2 (config- router)# no auto- summary // 取 消 自动 汇总 功能 

R2 (config- router) # network 192.168.2.0 // 宣 告 网 络 地 址 192.168.2.0 

R2 (config- router)# network 10.0.0.0 // 宣 告 网 络 地 址 10.0.0.0 

最 后 测试 网 络 的 连通 性 。 


PCO ping PC1 的 结果 是 通 的 。 


PC»ping 192.168.2.2 
Reply from 192.168.2.2: bytes-32 time- 156ms TTL- 126 
Reply from 192.168.2.2: bytes-32 time- 139ms TTL- 126 


(5) 配置 RI 的 IKE 参数 和 IPSec 参数 。 
首先 配置 RI 的 IKE 参数 。 


R1 (config)# crypto isakmp policy 1 // 创 建 IKE 策 略 

Rl (config- isakmp) # encryption 3des // 使 用 3pes 加 密 算法 

R1 (config- isakmp)f authentication pre- share // 使 用 预 共 享 密 钥 验证 方式 
R1 (config- isakmp) #hash sha // 使 用 sra- 1 算法 

R1 (config- isakmp)$ group 2 // 使 用 DH 组 2 

Rl (config- isakmp)#exit 

R1 (config)# crypto isakmp key 123456 address 2.2.2.2 // 配 置 预 共享 密 钥 


其 次 配置 RI 的 IPSec 参数 。 


R1 (config)# crypto ipsec transform- set 3des sha esp- sha- hmac 
// 配 置 IPsec 转换 集 ,使 用 EsP 
// 协 议 ,3DES 算法 和 sHA-1 散 列 算法 


R1 (cfg- crypto- trans)#mode transport // 指 定 IPsec 工作 模式 为 传输 模式 
R1 (config)#access- list 100 permit gre host 1.1.1.1 host 2.2.2.2 

// 针 对 GRE 隧道 的 流量 进行 保护 
R1 (config)# crypto map to R2 1 ipsec- isakmp // 配 置 IPsec 加 密 映 射 
R1 (config- crypto- map) # match address 100 // 应 用 加 密 访问 控制 列表 
R1 (config- crypto- map)# set transform- set 3des sha // 应 用 IPSec 转换 集 
R1 (config- crypto-map)# set peer 2.2.2.2 // 配 置 IPsec 对 等 体 地 址 


R1 (config- crypto- map)#exit 
R1 (config)# interface fastEthernet 0/0 
Rl(config-if)$crypto map to R2 // 将 IPsec 加 密 映 射 应 用 到 端口 


(6) 配置 R2 的 IKE 参数 和 IPSec 参数 。 
首先 配置 R2 IKE 参数 。 


R2 (config)# crypto isakmp policy 1 // 创 建 1kk SENE 

R2 (config- isakmp)#encryption 3des // 使 用 3ps 加 密 算法 

R2 (config- isakmp) # authentication pre- share // 使 用 预 共 享 密 钥 验证 方式 
R2 (config- isakmp)#hash sha // 使 用 sHa-1 算 法 

R2 (config- isakmp) # group 2 // 使 用 DH 组 2 


R2 (config-isakmp)fexit 
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R2 (config) # crypto isakmp key 123456 address 1.1.1.1 // 配 置 预 共 享 密 钥 
其 次 配置 R2 的 IPSec 参数 。 


R2 (config) # crypto ipsec transform- set 3des sha esp- sha- hmac 
// 配 置 IPSec 转换 集 ,使 用 
//EsP 协 议 ,3DES 算 法 和 sHa-1 散 


// 列 算法 
R2 (cfg- crypto- trans)#mode transport // 配 置 IPsec 工作 模式 为 传输 模式 
R2 (config)#access- list 100 permit gre host 2.2.2.2 host 1.1.1.1 

// 针 对 GRE 隧道 的 流量 进行 保护 
R2 (config)# crypto map to R1 1 ipsec-isakmp // 配 置 IPSec 加 密 映射 
R2 (config- crypto- map)#match address 100 // 应 用 加 密 访问 控制 列表 
R2 (config- crypto- map) # set transform- set 3des sha // 应 用 IPsec 转换 集 
R2 (config- crypto-map)# set peer 1.1.1.1 // 配 置 IPSec 对 等 体 地 址 


R2 (config- crypto- map)# exit 

R2 (config)f interface fastEthernet 0/0 

R2 (config- if)# crypto map to Rl // 将 IPsec 加 密 映 射 应 用 到 端口 
4) 实验 的 运行 与 测试 .实验 效果 验证 

PCO ping PCI 的 结果 是 通 的 ,表示 构建 GRE over IPSec VPN 隧道 建立 成 功 。 


PC»ping 192.168.2.2 


10.5 本 章 小 结 


本 章 首 先 介绍 广域网 的 基本 概念 ,介绍 了 广域网 中 常见 的 两 种 设备 类 型 DCE 和 DTE. 
详细 介绍 了 广域网 的 各 种 线路 类 型 ,包括 租用 线路 .电路 交换 连接 、 分 组 交换 连接 以 及 信 元 
交换 连接 ,同时 介绍 了 广域网 的 各 种 接 和 人 技术 ,特别 介绍 了 广域网 高 级 数据 链 路 控制 协议 
(HDLO) 以 及 点 对 点 协议 (PPP) ,探讨 了 PPP 的 两 种 认证 协议 PAP 及 CHAP 以 及 它们 的 
配置 过 程 。 
本 章 介绍 了 常见 的 广域网 技术 .包括 帧 中 继 及 VPN ,详细 介绍 了 帧 中 继 的 工作 原理 及 
配置 过 程 ,介绍 了 VPN 技术 ,特别 介绍 了 IPSec VPN 技术 、GRE over IPSec VPN 技术 ,并 
分 别 介绍 了 它们 的 工作 原理 及 详细 的 配置 过 程 。 


10.6 “习题 


简 答 题 

1. 什么 是 广域网 ? 

2. 说 明 什么 是 DCE 和 DTE, 

3. 常见 的 广域网 线路 类 型 有 哪些 ? 
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常见 的 广域网 接 人 技术 有 哪些 ? 
. 什么 是 HDLC 和 PPP? 
. 什么 是 PAP fll CHAP? 
. 什么 是 帧 中 继 技术 ? 谈 谈 帧 中 继 的 工作 原理 。 
. 什么 是 VPN 技术 ? 谈 谈 IPSec VPN 技术 的 工作 原理 。 
操作 题 
l. 设置 网 络 环境 ,配置 点 对 点 协议 的 PAP 和 CHAP 认证 。 
2. 设置 网 络 环境 ,配置 帧 中 继 网 络 。 
3. 设置 网 络 环境 ,配置 IPSec VPN, 
4. 设置 网 络 环境 ,配置 GRE over IPSec VPN. 


0o 30 c e 
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本 章 学 习 目标 

。 了 解 校 园 网 建设 的 目标 

。 了 解 校园 网 建设 的 应 用 需求 

。 掌握 校园 网 设计 的 方案 

。 掌握 单 核心 校园 网 的 组 建 过 程 

。 了 解 IPv6 校园 网 的 组 建 过 程 

本 章 详细 介绍 校园 网 组 建 的 整个 过 程 , 让 学 生 从 整体 上 把 握 整个 网 络 工程 的 实施 过 程 ， 
探讨 了 校园 网 建设 的 目标 、 校 园 网 建设 的 应 用 需求 ,详细 分 析 计 算 机 网 络 的 设计 方案 、 单 核 
心 校园 网 的 组 建 过 程 ,包括 单 核心 网 络 的 规划 与 设计 、 网 络 互 联 设备 的 选 型 . 接 入 层 交换 机 
配置 ,以 实现 局 域 网 安全 隔离 ,实现 隔离 网 络 间 互联 和 互通 ,实现 局 域 网 与 Internet 互联 配 
置 等 。 

本 章 最 后 探讨 IPv6 校园 网 的 组 建 过 程 ,包括 就 网 络 拓扑 构建 及 网 络 设备 选 型 、 接 
入 层 配 置 ,汇集 层 交 换 机 配置 .核心 层 网 络 配置 .查看 IPv6 路 由 表 , 以 及 最 终 网 络 连通 
性 测试 。 


11.1 校园 网 组 建 概述 


随 着 网 络 应 用 的 普及 深入 ,校园 网 在 教学 、 科 研 和 管理 中 发 挥 着 越 来 越 重 要 的 作用 。 网 
络 应 用 遍及 行政 管理 ,财务 管理 、 教 学 管理 、 信 息 服务 等 各 个 方面 ,成 为 学 校 办 公 、 教 学 、 科 
研 、 交 流 必 不 可 少 的 手段 和 服务 平台 。 在 推动 学 校 信息 化 建设 ,将 学 院 建设 成 为 一 个 借助 信 
息 化 教育 和 管理 手段 的 高 水 平 的 智能 化 .数字 化 的 教学 园区 网 络 ,实现 统一 网 络 管理 、 统 一 
软件 资源 系统 ,为 用 户 提供 高 速 接 入 网 络 , 并 实现 网 络 远 程 教学 、 在 线 服务 ,教育 资源 共享 等 
各 种 应 用 ;利用 现代 信息 技术 从 事 管理 教学 和 科学 研究 等 工作 。 


11.1.1 校园 网 络 建设 的 目标 


网 络 建设 的 设计 目标 是 : 高 性 能 、 高 可 靠 性 、 高 稳定 性 、 高 安全 性 、 易 管理 的 万 兆 骨 干 网 
络 平台 。 

1) 可 靠 性 和 稳定 性 

在 考虑 技术 先进 性 和 开放 性 的 同时 ,还 应 从 系统 结构 、 技 术 措 施 、 设 备 性 能 .系统 管理 、 
厂商 技术 支持 及 保修 能 力 等 方面 着 手 ,确保 系统 运行 的 可 靠 性 和 稳定 性 ,达到 最 大 的 平均 无 
故障 时 间 。 

2) 实用 性 和 经 济 性 

网 络 建设 应 始终 贯彻 面向 应 用 、 注 重 实效 的 方针 ,坚持 实用 、 经 济 的 原则 ,建设 学 校 万 兆 
骨干 网 络 平台 。 
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3) 安全 性 和 保密 性 

在 网 络 设计 中 , 既 要 考虑 信息 资源 的 充分 共享 ,更 要 注意 信息 的 保护 和 隔离 ,因此 系统 
应 分 别针 对 不 同 的 应 用 和 不 同 的 网 络 通信 环境 采取 不 同 的 措施 ,包括 端口 隔离 .路 由 过 滤 、 
防 DDoS 拒绝 服务 攻击 、 防 IP 扫描 \ 系统 安全 机 制 、 多 种 数据 访问 权限 控制 等 ,网 络 设计 方 
案 应 充分 考虑 安全 性 ,针对 校园 网 的 各 种 应 用 ,有 多 种 保护 机 制 , 如 划分 VLAN, IP/ MAC 
地 址 绑 定 ( 过 滤 )、ACL、 路 由 过 滤 、. 防 DDoS 拒绝 服务 攻击 、 防 TP 扫描 \IEEE 802. 1x 认证 机 
制 .SSH 加 密 连 接 等 具体 技术 ,提升 整个 网 络 的 安全 性 。 

4) 先进 性 和 成 熟 性 

网 络 建设 设计 既 要 采用 先进 的 概念 .技术 和 方法 ,又 要 注意 结构 .设备 .工具 的 相对 成 
熟 ,不 但 能 反映 当今 的 先进 水 平 ,而 且 具 有 发 展 潜力 ,能 保证 在 未 来 若干 年 内 占 主导 地 位 , 保 
证 校园 网 络 建设 的 领先 地 位 ,规划 采用 万 兆 以 太 网 技术 构建 网 络 主干 线路 ,所 有 网 络 设备 硬 
件 都 支持 IPV6 ,支持 未 来 平滑 升级 到 IPV6 网 络 。 

5) 灵活 性 和 可 扩展 性 

万 兆 校园 网 设计 方案 应 按照 模块 化 .层次 化 的 网 络 设计 原则 ,所 设计 的 网 络 具有 很 好 的 
伸缩 性 ,可 以 根据 网 络 建设 的 不 同 阶段 灵活 配置 和 扩展 ,具有 能 不 断 吸 收 新 技术 、 新 方案 的 
功能 。 

6) 易 管理 

全 线 采 用 基于 SNMP 标准 的 可 网 管 产品 ,达到 全 程 网 管 ,降低 了 人 力 资源 的 费用 ,提高 
了 网 络 的 易 用 性 、 可 管理 性 ,同时 又 具有 很 好 的 可 扩充 性 。 

D 骨干 链 路 健壮 (元 余 ) 性 

为 了 保证 万 兆 骨 干 网 络 平台 的 健壮 性 和 链 路 完 余 性 ,在 网 络 设计 时 将 校园 各 个 区 域 设 
备 通 过 万 兆 模块 连接 到 学 校 双核 心 交 换 机 ,并 且 同 时 启用 千 兆 链 路 作为 备份 线路 。 在 各 个 
区 域 间 启用 路 由 完 余 机 制 ,任何 一 条 线路 出 现 故障 后 ,依然 保证 骨干 网 络 平台 的 可 用 性 ,为 
校区 网 络 提供 负载 平衡 ,快速 收 剑 和 扩展 性 。 


11.1.2 校园 网 络 建设 的 应 用 需求 


(1) 在 骨干 网 络 中 ,视频 、 音 频 、 数 据 集 于 一 身 ,要 更 有 效 地 保证 应 用 服务 的 运营 ,需要 
通过 端 到 端的 QoS、 智 能 到 边缘 的 方式 来 保证 。 

(2) 在 校园 网 络 中 ,存在 多 样 的 网 络 设备 及 系统 应 用 环境 ,要 考虑 到 网 络 设备 的 可 扩展 
性 ,保证 在 多 样 的 网 络 设备 中 网 络 仍 能 畅通 。 同 时 预 留 空间 ,符合 以 后 的 信息 建设 需要 和 足 
够 的 升级 空间 。 

COD 在 骨干 网 络 建设 中 存在 多 用 户 、 多 服务 的 现状 ,需要 网 络 系统 具有 高 效率 ,并 且 保 
证 大 数据 量 访问 下 有 效 的 处 理 能 力 ,使 数据 在 独立 的 板 卡 上 就 能 识别 数据 。 

(4) 网 络 环境 稳定 、 可 靠 是 十 分 重要 的 .网 络 中 运行 的 众多 应 用 及 服务 需要 保证 7X 24 
小 时 不 间断 的 服务 。 即 使 在 设备 出 现 问 题 时 切换 到 备用 设备 的 过 程 中 ,也 要 保证 较 小 的 延 
迟 ,以 满足 网 络 应 用 中 的 有 效 畅通 的 需要 。 

(5) 在 骨干 网 络 中 ,对 校园 网 的 安全 保障 十 分 重要 : 校园 网 的 信息 点 分 布 很 广 ,与 一 般 
企业 网 比较 ,校园 网 用 户 的 流动 性 大 ,信息 点 存在 随意 接 入 使 用 的 问题 。 学 生 及 外 来 不 明 身 
份 的 用 户 在 校园 网 中 找到 任何 一 个 信息 点 ,就 可 以 进入 到 校园 网 ,可 以 肆意 干扰 和 破坏 校园 
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网 网 络 平台 及 应 用 系统 的 正常 运行 。 另 外 ,校园 网 的 网 络 安全 还 需要 考虑 与 外 网 及 内 网 不 
同 应 用 系统 之 间 的 安全 访问 控制 。 


11.1.3 校园 网 络 的 设计 方案 


1. 核心 设计 

网 络 核心 结 点 作为 校园 网 络 系统 的 心脏 ,必须 提供 全 线 速 的 数据 交换 。 在 保证 高 性 能 、 
无 阻塞 交换 的 同时 ,还 必须 保证 稳定 可 靠 的 运行 。 具 体 来 说 ,核心 结 点 的 交换 机 有 3 个 基本 
要 求 : @ 高 密度 端口 情况 下 ,能够 保持 各 端口 的 线 速 转发 ;@ 具 备 高 密度 的 万 兆 端口 ;四 关 
键 模块 必须 宛 余 ,如 管理 引擎 .电源 、. 风 扇 等 ;四 必须 硬件 支持 IPV6。 校 园 网 核心 配备 两 台 
万 兆 核 心 交换 机 ,建设 成 一 个 双核 心 的 网 络 结构 。 实 现 整个 校园 的 两 个 骨干 结 点 采用 万 兆 
以 太 网 环 路 保护 技术 ,形成 环形 网 络 , 这 样 整个 网 络 的 核心 就 具备 了 元 余 .负载 均衡 、, 热 交换 
性 能 等 特性 。 在 保证 学 校 部 分 数据 高 速 交 换 的 同时 ,达到 更 好 的 经 济 性 。 

2. 汇聚 设计 

校园 网 各 区 域 的 汇聚 层 设计 必须 能 保证 校园 网 内 部 大 量 数据 的 高 速 转发 ,同时 也 要 具 
备 高 可 靠 性 和 稳定 性 。 校 园 网 汇聚 层 交 换 机 采用 万 兆 交换 机 。 全 模块 化 、 高 密度 端口 的 万 
兆 核 心路 由 交换 机 ,可 以 根据 用 户 的 需求 灵活 配置 ,灵活 构建 弹性 可 扩展 的 网 络 。 汇 聚 层 交 
换 机 配备 一 个 万 兆 端口 和 一 个 千 兆 端口 ,通过 万 兆 链 路 上 联 校 园 主 核心 交换 机 ;而 备份 线路 
则 通过 千 兆 光纤 链 路 上 联 校园 网 核心 交换 机 。 

3. 接 入 设计 

采用 的 接 入 交换 机 是 全 线 速 可 堆 秋 的 安全 智能 交换 机 ,可 以 根据 网 络 实际 使 用 环境 实 
施 灵 活 多 样 的 安全 控制 策略 ,可 有 效 防止 和 控制 病毒 传播 和 网 络 攻 击 ,控制 非法 用 户 使 用 网 
络 ,保证 合法 用 户 合理 使 用 网 络 资源 ,充分 保障 网 络 安全 和 网 络 合理 化 使 用 和 和 运营。 可 通过 
SNMP, Telnet, Web 和 Console 口 等 多 种 方式 提供 丰富 的 管理 。 

4. 校园 网 外 联 出 口 模块 设计 

目前 校园 网 的 外 联 出 口 可 能 会 有 多 条 链 路 ,出 口 设 备 采 用 1 台 高 端 防火 墙 ,保证 全 校 
用 户 的 NAT 和 出 口 安全 实施 的 高 效 性 。 对 外 服务 器 易 遭 受 来 自 互联 网 的 黑客 恶意 攻击 和 
病毒 攻击 ,并且 一 旦 被 外 界 攻击 影响 后 ,无 疑 将 会 为 互联 网 的 黑客 和 网 络 病毒 攻击 学 校内 前 
网 络 提供 便捷 的 通道 ,因此 此 类 服务 器 的 安全 保护 至 关 重 要 ,规划 将 这 类 服务 器 放置 在 千 兆 
防火 墙 之 后 ,利用 防火 墙 的 安全 过 滤 和 安全 防护 功能 .更 好 地 降低 服务 器 的 安全 风险 。 同 
时 ,通过 在 出 口 以 劳 路 方式 放置 IDS, 对 网 络 进行 动态 实时 监控 ,一 旦 发 现 异常 网 络 行为 , 通 
过 与 相应 的 网 络 安全 策略 平台 和 交换 机 联动 ,自动 隔离 发 起 异常 网 络 行为 的 主机 ,实现 自动 
防御 异常 网 络 行为 。 

5. 网 络 VLAN 的 设计 

在 骨干 网 络 的 整个 网 络 规划 中 ,VLAN 的 划分 是 非常 重要 的 部 分 ,VLAN 的 广播 只 在 
子 网 中 进行 ,消除 了 广播 风暴 产生 的 条 件 。VLAN 的 划分 可 以 增加 网 络 的 安全 性 ,在 不 同 
的 VLAN 之 间 不 能 随意 通信 ,只 限于 在 本 子 网 间 通 信和 .不 会 对 其 他 子 网 产生 干扰 。 要 进行 
访问 ,需要 通过 三 层 交 换 , 也 可 以 在 汇聚 设备 上 实行 。 根 据 校园 网 骨干 网 络 建设 的 实际 情 
况 , 在 骨干 网 络 ,VLAN 划分 规划 以 “灵活 划分 方便 管理 ”为 基本 原则 ,以 不 同 的 使 用 群体 
为 VLAN 范围 划分 。 这 样 划 分 VLAN 的 好 处 有 : @ 方 便 管理 。 在 校园 网 骨干 网 络 中 如 果 
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以 用 户 群 体 划 分 VLAN ,可 避免 由 于 前 期 配置 设备 时 的 烦琐 复杂 ,而且 由 于 相同 的 用 户 群 
体 可 能 在 不 同 的 物理 位 置 ,导致 造成 整个 校园 网 络 中 VLAN 划分 复杂 ,减少 管理 和 后 期 的 
维护 。@ 易 于 实施 。 按 群体 划分 VLAN 在 工程 实施 中 就 十 分 方便 ,不 会 造成 VLAN 划分 
复杂 失误 ,而 使 得 网 络 出 现 不 通 的 现象 ,便于 工程 快速 实施 和 网 络 中 心 整 体 规划 。 

6. 网 络 路 由 设计 

网 络 互联 互通 的 关键 是 路 由 的 畅通 。 选 择 一 个 合适 的 路 由 协议 和 合理 的 路 由 策略 至 关 
重要 ,广域网 与 局 域 网 的 IP 层 通信 中 必须 使 用 路 由 协议 ,其 中 包含 静态 路 由 与 动态 路 由 ,而 
动态 路 由 又 可 以 分 为 OSPF, RIP.IGRP,EIGRP,BGP 等 。 在 实际 工作 中 ,对 于 一 个 较 小 的 
网 络 系统 ,静态 路 由 是 一 个 很 好 的 选择 。 对 于 一 个 较 大 的 网 络 系统 ,往往 采用 浮动 静态 实现 
备份 链 路 。 动 态 路 由 有 很 多 ,但 真正 广泛 使 用 在 企业 网 中 的 是 EIGRP 与 OSPF, OSPF 是 
一 个 内 部 网 关 协议 ,该 协议 特别 适合 层次 化 的 网 络 结构 ,更 容易 进行 路 由 的 控制 。 从 长 远 的 
战略 眼光 看 ,在 选择 路 由 协议 时 应 首先 满足 可 用 性 ,同时 也 要 考虑 可 扩展 性 和 标准 性 。 
EIGRP 是 CISCO 的 私有 协议 ,与 其 他 厂商 的 路 由 器 提供 的 路 由 协议 存在 兼容 性 问题 。 通 
过 以 上 分 析 , 建 议 采用 OSPF 路 由 协议 网 络 地 址 规划 。 

7. 网 络 IP 地 址 规划 

根据 互联 网 络 技术 发 展 的 趋势 ,结合 校园 网 骨干 网 络 目 前 的 现实 情况 ,建议 出 口 路 由 器 
互联 采用 公 网 IP 地 址 ;公共 服务 器 (如 WWW/FTP/DNS/ 资源 服务 器 等 ) 均 采用 公 网 IP 
地 址 ; 接 入 用 户 采用 私有 保留 IP 地 址 相连 。 智 能 网 络 校园 网 的 管理 至 关 重 要 。 校 园 网 的 管 
理 分 行政 手段 的 管理 和 技术 手段 的 管理 : 行政 手段 的 管理 主要 是 制定 切实 可 行 的 用 户 、 设 
备 、 系 统管 理 制度 ,采取 一 定 的 奖惩 手段 ,保障 管理 顺利 开展 ;技术 手段 的 管理 主要 是 指 利用 
相关 的 技术 措施 ,管理 和 维护 学 院内 部 网 络 和 各 项 系统 顺利 运行 。 采 用 网 络 管理 平台 能 提 
供 整 个 网 络 的 拓扑 结构 ,能 对 以 太 网 络 中 的 任何 通用 IP 设备 .SNMP 管理 型 设备 进行 管 
理 ,通过 对 网 络 的 全 面 监控 ,网 络 管理 员 可 以 重 构 网 络 结 构 ,使 网 络 达到 最 佳 效果 。 

8. 网 络 安全 设计 

构建 全 程 全 网 的 访问 控制 体系 是 网 络 安全 防范 和 保护 的 主要 策略 , 它 的 主要 任务 是 保 
证 网 络 资源 不 被 非法 使 用 和 访问 。 它 是 保证 网 络 安全 最 重要 的 核心 策略 之 一 。@ 接 人 交换 
机 采用 支持 IEEE 802. 1x 用 户 入 网 认证 ,核心 技术 采用 IEEE 802. 1x 十 Radius 协议 构成 ; 
整个 认证 计 费 系统 由 安全 交换 机 为 最 终 用 户 提 供认 证 、 计 费 和 管理 等 功能 ,通过 与 接 入 设备 
配合 使 用 ,在 交换 机 上 开启 IEEE 802. 1x 功能 ,实现 对 所 有 用 户 进行 认证 和 计 费 。 四 访问 
安全 多 业务 万 兆 核 心路 由 交换 机 支持 IEEE 802. 1q VLAN ,可 使 用 VLAN 划分 隔离 用 户 访 
问 , 同 时 还 支持 VLAN 隧道 技术 ,并 且 万 兆 核心 路 由 交换 机 支持 完善 的 ACL, 可 以 基于 
MAC,IP, TCP/UDP 端口 号 进行 流量 控制 ,以 有 效 防范 和 控制 网 络 蠕虫 病毒 (如 冲击 波 ) 的 
传播 和 危害 。 

9. 网 络 防 病毒 设计 

网 络 防 病毒 设计 的 设计 思想 为 : 以 网 为 本 防治 病毒 应 该 从 网 络 整体 考虑 ,从 方便 减 
少 管理 人 员 的 工作 上 着 手 , 透 过 网 络 管理 PC., 提 供 在 线 报警 功能 ,网 络 上 的 每 一 台 机 器 出 现 
故障 有 病毒 侵入 , 均 应 从 管理 中 心 处 解决 。 四 多 层 防御 新 的 防毒 手段 应 将 病毒 检测 、 多 层 
数据 保护 和 集中 式 管 理 功能 集成 起 来 ,形成 多 层 防 御 体 系 。 任 何 一 种 反 病 毒 的 解决 方案 都 
应 该 既 具 有 稳健 的 病毒 检测 功能 ,又 具有 客户 机 、 服 务 器 数据 保护 功能 ,也 就 是 覆盖 全 网 的 
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多 层次 防御 。@@ 重 视 服 务 器 上 防毒 大 量 的 病毒 存在 于 信息 共享 的 网 络 介质 上 ,因而 要 在 网 
络 前 端 实时 杀毒 。 防 范 手段 应 集中 在 网 络 整体 上 。 在 个 人 计算 机 的 硬件 和 软件 .LAN 服务 
器 .服务 器 上 的 网 关 、Internet 及 Intranet 的 WebSite 上 , 层 层 设防 ,对 每 种 病毒 都 实行 隔 
离 .过 滤 。 在 后 台 实时 进行 监控 ,一 旦 发 现 病毒 ,随时 清除 ,而 前 端 用 户 根本 没有 感应 ,甚至 
根本 不 知道 杀毒 的 过 程 ,这 才 是 比较 科学 的 、 全 面 的 解决 方案 。@ 轩 为 安全 管理 规范 和 应 急 人 
员 配 备 的 防 病毒 系统 需要 很 好 的 维护 ,坚固 的 防护 系统 也 需要 用 户 协助 。 在 网 络 安全 问题 
上 ,应 制定 严格 的 安全 规范 。 这 些 规范 是 网 络 安全 运行 必 不 可 少 的 规范 制度 。 网 络 安全 管 
理应 专门 配备 防 病毒 应 急 处 理 技术 人 员 ,长 期 维护 防 病毒 系统 和 跟踪 病毒 信息 等 。 

校园 网 的 建设 对 教学 .科研 和 管理 ,特别 是 行政 管理 ,财务 管理 .教学 管理 .信息 服务 等 
各 个 方面 都 具有 特别 重要 的 意义 。 同 时 ,校园 网 的 建设 必须 有 基本 的 目标 和 原则 。 校 园 网 
的 具体 建设 也 要 根据 实际 情况 组 建 。 


11.2. 校园 网 的 组 建 过 程 


大 型 单 核心 网 络 的 组 建 过 程 有 以 下 几 个 步骤 : 首先 是 单 核心 网 络 的 规划 与 设计 ,主要 
内 容 是 网 络 拓扑 结构 的 设计 以 及 TP 地 址 规划 。 其 次 是 对 网 络 互联 设备 的 选 型 , 即 根据 需要 
选择 合适 的 网 络 互联 设备 。 第 三 步 是 对 接 入 层 交换 机 进行 配置 ,以 实现 局 域 网 安全 隔离 。 
第 四 步 主要 是 实现 隔离 网 络 间 互 联 互通 。 第 五 步 是 实现 局 域 网 与 Internet 互联 配置 。 最 后 
一 个 步骤 是 对 整个 工程 项 目 进 行 调试 及 验收 。 

1. 单 核心 网 络 的 规划 与 设计 

各 企 事业 单位 在 建设 自己 的 网 络 时 ,往往 是 采用 目前 比较 流行 的 三 层 网 络 架构 , 即 核心 
层 ,. 汇 聚 层 和 接 和 人 层 。 通 常 将 网 络 中 直接 面向 用 户 连接 或 访问 网 络 的 部 分 称 为 接 人 层 ,将 位 
于 接 人 层 和 核心 层 之 间 的 部 分 称 为 汇聚 层 , 而 将 网 络 主干 部 分 称 为 核心 层 ,核心 层 的 主要 目 
的 在 于 通过 高 速 转发 通信 ,核心 层 交换 机 应 拥有 更 高 的 可 靠 性 ,性 能 和 吞吐 量 。 图 11. 1 是 
一 个 单 核心 的 三 层 网 络 结构 。 其 中 Switch3 为 核心 层 三 层 交 换 机 ,Switchl 和 Switch2 为 汇 
聚 层 三 层 交 换 机 , 接 入 层 为 4 台 普 通 二 层 交 换 机 。 在 规划 中 ,将 第 一 台 和 第 二 台 接 入 层 交 换 
机 的 1 一 8 号 口 分 配给 人 事 部 (VLAN10) ,9 一 16 号 口 分 配给 财务 部 (VLAN20),17 一 23 号 
口 分 配给 总 务 部 (VLAN30) ,它们 的 24 号 端口 分 别 用 于 连接 汇聚 层 交 换 机 。 第 三 台 和 第 四 
台 交 换 机 的 1 一 8 号 口 分 配给 市 场 部 (VLAN50),9 一 16 号 口 分 配给 现场 部 (VLAN60)， 
17 一 23 号 口 分 配给 经 理 室 (VLAN70)。 当 然 ,也 可 以 根据 实际 情况 变化 而 变化 ,在 进行 IP 
地 址 规划 时 ,我 们 将 相同 的 部 门 分 配 同 一 个 网 段 ,不 同 的 部 门 分 配 不 同 的 网 段 。 如 人 事 部 为 
172. 16. 10. 0/16 ,财务 部 为 172. 16. 20. 0/16 ,总 务 部 为 172. 16. 30. 0/16 ,市 场 部 为 172. 16. 
50. 0/16 ,现场 部 为 172. 16. 60. 0/16 ,经 理 室 为 172. 16. 70. 0/16 等 。 

2. 网 络 互联 设备 的 选 型 

Packet Tracer 模拟 软件 中 提供 了 多 种 型 号 的 网 络 设备 ,在 组 建 大 型 单 核心 网 络 中 接 人 
层 交 换 机 ,我 们 选择 Cisco 2950 或 Cisco 2960 普通 二 层 交 换 机 ,汇聚 层 和 核心 层 交 换 机 选择 
Cisco 3560 三 层 交 换 机 ,链接 外 网 的 路 由 器 选择 Cisco Router 1814, 电 信和 局 的 路 由 器 同样 为 
Cisco Router 1841。 整 个 网 络 拓扑 图 如 图 11. 1 所 示 。 
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图 11.1 大 型 单 核心 校园 网 网 络 拓扑 图 


3. 对 接 入 层 交 换 机 进行 配置 ,以 实现 局 域 网 安全 隔离 

为 了 实现 局 域 网 安全 隔离 ,需要 划分 VLAN( 虚 拟 局 域 网 )。 划 分 VLAN 主要 出 于 三 
方面 的 考虑 : 一 是 基于 网 络 性 能 的 考虑 。 对 于 大 型 网 络 ,现在 常用 的 协议 是 广播 协议 , 当 网 
络 规模 很 大 时 ,网 上 的 广播 信息 会 很 多 ,形成 广播 风暴 ,引起 网 络 堵塞 。 而 广播 信息 不 会 跨 
ib VLAN, 这 样 就 缩小 了 广播 范围 ,提高 了 网 络 性 能 。 第 二 是 基于 安全 性 的 考虑 。 不 同 
VLAN 的 微机 是 不 能 互相 通信 的 。 第 三 是 基于 组 织 结构 上 的 考虑 。 同 一 部 门 的 人 员 分 散 
在 不 同 的 物理 地 点 ,我 们 可 以 跨 地 域 将 其 设 在 同一 VLAN 中 ,实现 数据 安全 和 共享 。 我 们 
按照 部 门将 交换 机 进行 VLAN 划分 ,首先 对 第 一 台 接 入 层 交换 机 进行 如 下 配置 。 


Switch> en // 进 入 特权 模式 

Switch# config t // 进 入 全 局 配置 模式 

Switch (config)#vlan 10 // 创建 人 事 部 虚拟 局 域 网 ,VLAN10 

Switch (config- vlan)fexit 

Switch (config)£vlan 20 // 创 建 财务 部 虚拟 局 域 网 ,VLAN20 

Switch (config- vlan)fexit 

Switch (config)£vlan 30 // 创 建 总 务 部 虚拟 局 域 网 ,VLAN30 

Switch (config-vlan)#exit 

Switch (config)#interface range fastEthernet 0/1-8 // 进 入 1 一 8 号 端口 

Switch (config- if- range)# switchport access vlan 10 // 将 第 一 台 交 换 机 的 1 一 8 号 口 
// 分 配给 人 事 部 VLAN10 

Switch (config-if- range)#exit 

Switch (config)# interface range fastEthernet 0/9-16 // 进 入 9~ 16 号 端口 

Switch (config- if- range)# switchport access vlan 20 // 将 第 一 台 交 换 机 的 9— 16H 
// 分 配给 财务 部 VLAN20 


Switch (config- if- range)#exit 
Switch (config)#interface range fastEthernet 0/17-23 // 进 入 17~ 23 5 ži O 
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Switch (config- if- range)# switchport access vlan 30 // 将 第 一 台 交 换 机 的 17—23 8 
// 口 分 配给 总 务 部 VLANSO 


用 同样 的 方法 配置 其 他 3 台 接 入 层 交 换 机 ,其 中 第 二 台 接 入 层 交 换 机 创建 3 个 
VLAN ,分 别 为 VLANIO, VLAN20 以 及 VLAN30, 将 交换 机 的 1—8 号 口 分 配给 人 事 部 
VLAN10 ,将 交换 机 的 9 一 16 号 口 分 配给 财务 部 VLAN20, 将 交换 机 的 17 —23 号 口 分 配给 
总 务 部 VLAN30, 第 三 台 和 第 四 台 接 入 层 交 换 机 各 创建 3 个 VLAN, 分 别 为 VYLAN50、 
VLAN60 以 及 VLAN70, 将 这 两 台 交 换 机 的 1~8 号 口 分 配给 市 场 部 VLAN50, 9 一 16 号 口 
分 配给 现场 部 VLAN60,17—23 号 口 分 配给 经 理 室 VLAN70。 这 两 台 交 换 机 的 24 号 口 均 
为 连接 汇聚 层 端口 。 最 终 达到 相同 的 部 门 在 相同 的 VLAN 中 ,通过 测试 ,相同 部 门 间 的 网 
络 是 可 以 互相 通信 的 ,不 同 部 门 的 网 络 是 不 可 以 互相 通信 的 。 这 样 我 们 就 可 以 实现 对 接 和 人 
层 交 换 机 配置 ,以 实现 局 域 网 安全 隔离 。 

4. 实现 隔离 网 络 间 互联 互通 

网 络 应 该 是 互通 的 , 接 下 来 我 们 需要 借助 三 层 交换 机 实现 不 同 VLAN 间 网 络 的 互联 互 
通 ,在 实现 网 络 的 互联 互通 时 ,首先 通过 Switch1( 图 11. 1) 解 决 第 一 台 和 第 二 台 接 入 层 交换 
机 的 互联 互通 问题 。 我 们 对 Switchl 进行 如 下 配置 。 


Switch (config)# vlan 10 // 创 建 VIAN10 

Switch (config- vlan)#exit 

Switch (config) #vlan 20 // 创 建 VLAN20 

Switch (config- vlan)# exit 

Switch (config)#vlan 30 // 创 建 VLAN30 

Switch (config- vlan)# exit 

Switch (config)# interface vlan 10 // 进 入 NLAN10 端口 模式 

Switch (config- if)# ip address 172.16.10.1 255.255.255.0 // 配 置 VLAN10 端口 IP 地 址 
// 作 为 VLAN10 网 关 地 址 


Switch (config- if)#no shu 
Switch (config- if)#exit 


Switch (config)# interface vlan 20 // 进 入 VLAN20 端口 模式 
Switch (config- if)# ip address 172.16.20.1 255.255.255.0 // 配 置 VLAN20 端口 IP 地 址 
// 作 为 viaN20 网 关 地 址 


Switch (config- if)#no shu 
Switch (config-if)fexit 


Switch (config)# interface vlan 30 // 进 入 VLAN30 端口 模式 
Switch (config- if)# ip address 172.16.30.1 255.255.255.0 // 配 置 VLAN30 端口 IE 地 址 
// 作 为 viaN30 网 关 地 址 


Switch (config- if)# no shu 


这 里 需要 注意 的 是 ,要 将 连接 三 层 交 换 机 Switchl 的 1 号 端口 和 第 一 台 接 和 人 层 交换 机 
的 连接 Switchl 的 交换 机 的 24 号 端口 的 模式 均 配 置 成 Trunk 模式 。 将 连接 三 层 交 换 机 
Switchl 的 2 号 端口 和 第 二 台 接 入 层 交换 机 的 连接 Switchl 的 交换 机 的 24 号 端口 的 模式 均 
配置 成 Trunk 模式 。 首 先 配 置 第 一 台 接 入 层 交 换 机 。 


switch (config)#interface fastEthernet 0/24 // 进 入 第 一 台 接 入 层 交 换 机 24 号 口 
Switch (config-if)£ switchport mode trunk // 将 第 一 台 接 入 层 交换 机 24 号 口 配 
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// 置 成 Trunk 模 式 。 同 样 对 第 二 台 接 入 层 交 换 机 的 24 号 端口 配置 成 Trunk 模 式 
采用 同样 的 方法 对 三 层 交 换 机 Switchl 进行 配置 。 


Switch (config)# interface fastEthernet 0/1 // 进 入 1 号 端口 
Switch (config- if)# switchport trunk encapsulation dotlq ”// 把 交换 机 端口 封装 类 型 改 成 dotlq 
Switch (config- if)# switchport mode trunk // 将 1 号 端口 配置 成 rrunk 模式 


同样 将 2 号 端口 配置 成 Trunk 模式 。 

经 过 以 上 配置 后 ,在 第 一 台 接 入 层 交换 机 和 第 二 台 接 入 层 交换 机 的 不 同 VLAN 间 就 可 
以 互相 通信 了 ,我 们 用 人 事 部 一 台 IP 地 址 为 172. 16. 10. 2 的 计算 机 可 以 成 功 ping 通 总 务 
部 的 一 台 IP 地 址 为 172. 16. 30. 2 的 计算 机 ,返回 值 为 127。 


PC>ping 172.16.30.2 

Pinging 172.16.30.2 with 32 bytes of data: 

Reply from 172.16.30.2: bytes-32 time- 174ms TTL- 127 

Reply from 172.16.30.2: bytes- 32 time- 49ms TTL- 127 

利用 同样 的 方法 可 以 将 第 三 台 和 第 四 台 接 和 人 层 交 换 机 所 连接 的 市 场 部 、 现 场 部 、 经 理 室 
互联 起 来 ,达到 网 络 互通 的 作用 。 其 中 ,在 Switch2 交换 机 上 创建 3 个 VLAN, 分 别 为 
VLAN50、VLAN60 和 VLAN70 ,配置 这 3 个 VLAN 的 IP 地 址 分 别 为 172. 16. 50. 1/16, 
172.16. 60. 1/16 和 172. 16. 70. 1/16. 

接 下 来 需要 将 第 一 、 第 二 台 交 换 机 和 第 三 、 第 四 台 交换 机 通过 网 络 互联 起 来 。 这 里 需要 
利用 核心 层 交 换 机 Switch3 完成 任务 。 首 先 配 置 核心 层 交 换 机 Switch3 。 


Switch (config)# vlan 100 // 创 建 VLAN100 

Switch (config- vlan)# exit 

Switch (config)#vlan 200 // 创 建 VLAN200 

Switch (config- vlan)# exit 

Switch (config)# interface vlan 100 // 进 入 NLAN100 端口 模式 


Switch (config- if)# ip address 192.168.128.45 255.255.255.248 

// 配 置 VLAN100 的 IP 地 址 
Switch (config— if)#exit 
Switch (config)# interface vlan 200 / [alt A NLAN200 端口 模式 
Switch (config- if)# ip address 192.168.129.45 255.255.255.248 

// 配 置 VLAN100 的 IP 地 址 
Switch (config-if)fexit 
Switch (config)# router ospf 100 // 配 置 动态 路 由 协议 oSPF 
Switch (config- router)# network 192.168.128.40 0.0.0.7 area 0 
Switch (config- router)# network 192.168.129.40 0.0.0.7 area 0 
Switch (config- router)# 


注意 ,要 将 该 交换 机 连接 下 面 的 汇聚 层 交 换 机 的 端口 模式 设置 成 Trunk, 
接 下 来 对 Switchl 进行 配置 。 
Switch (config)#vlan 100 // 创 建 VLAN100 


Switch (config- vlan)#exit 
Switch (config)# interface vlan 100 // 进 入 NLAN100 端口 模式 
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Switch (config- if)# ip address 192.168.128.44 255.255.255.248 
// 配 置 VIAN100 端口 IP 地 址 
Switch (config- if)#no shu 
Switch (config- if)#exit 
Switch (config)# router ospf 100 // 配 置 动态 路 由 协议 oSPF 
Switch (config- router) # network 192.168.128.40 0.0.0.7 area 0 
Switch (config- router)# network 172.16.10.0 0.0.255.255 area 0 
Switch (config- router)# network 172.16.20.0 0.0.255.255 area 0 
Switch (config- router)# network 172.16.30.0 0.0.255.255 area 0 


利用 同样 的 方法 对 Switch2 进行 配置 。 在 Switch2 中 创建 VLAN200,IP 地 址 为 192. 
168. 129. 44/29 ,在 该 交换 机 上 运行 OSPF 动态 路 由 协议 ,所 链接 的 网 络 分 别 为 172. 16. 50. 
0/16,172. 16. 60. 0/16,172. 16. 70. 0/16 以 及 192. 168. 129. 40/16, 

最 后 将 这 两 台 交 换 机 连接 核心 层 交 换 机 的 端口 的 模式 设置 成 Trunk。 

经 过 以 上 配置 ,整个 局 域 网 就 实现 了 互联 互通 ,其 中 我 们 用 人 事 部 的 一 台 IP 地 址 为 
172.16. 10. 2 的 计算 机 ping 经 理 室 的 一 台 IP 为 172. 16. 70. 2 的 计算 机 ,结果 是 ping 通 的 ， 
返回 值 是 125, 因 为 经 过 了 3 台 三 层 交 换 机 。 

PC»ping 172.16.70.2 

Pinging 172.16.70.2 with 32 bytes of data: 

Reply from 172.16.70.2: bytes- 32 time- 156ms TTL- 125 

Reply from 172.16.70.2: bytes-32 time- 109ms TTL- 125 


5. 实现 局 域 网 与 Internet 互联 配置 

局 域 网 最 终 要 连 入 Internet, 我 们 借助 一 台 Cisco 1841 路 由 器 和 电信 的 Cisco 1841 路 
由 器 相连 ,其 中 电信 局 分 配给 单位 使 用 的 外 部 TP 地 址 为 210. 96. 100. 85 ,电信 局 连接 单位 
路 由 器 的 一 端的 IP 地址 为 210. 96. 100. 86。 因 特 网 上 有 一 台 Web 服务 器 ,其 IP 地 址 为 
202. 102. 1. 2, 网 关 地 址 为 202. 102. 1. 1, 具 体 情况 如 图 11. 1 所 示 。 以 下 是 对 单位 路 由 器 的 
配置 。 

Router (config)# interface fastEthernet 0/0 // 进 入 路 由 器 的 0/0 端口 


Router (config- if)# ip address 192.168.86.30 255.255.255.240 
// 配 置 该 端口 的 IP 地 址 


Router (config- if)# no shu // 激活 该 端口 

Router (config- if)# exit 

Router (config)# interface fastEthernet 0/1 // 进入 路 由 器 的 0/1 端口 

Router (config- if)# ip address 210.96.100.85 255.255.255.0 // 配置 该 端口 的 TP 地址 

Router (config-if)fexit 

Router (config)# ip route 0.0.0.0 0.0.0.0 210.96.100.86 // 配 置 默认 路 由 指向 外 网 的 
// 路 由 器 

Router (config)# router ospf 100 // 运 行动 态 路 由 协议 osPF 


Router (config- router)# network 192.168.86.16 0.0.0.15 area 0 

Router (config- router)# network 210.96.100.84 0.0.0.15 area 0 

Router (config- router)# default- information originate // 通 过 osPF 动态 路 由 协议 
// 向 内 网 宣告 默认 路 由 信息 
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现在 我 们 需要 对 连接 该 路 由 器 的 三 层 交 换 机 Switch3 进行 配置 。 


Switch (config)# interface fastEthernet 0/3 // 进 入 3 号 端口 ,该 端口 是 

// 该 交换 机 和 路 由 器 相连 的 端口 
Switch (config- if)# no switchport // 将 该 端口 配置 成 路 由 口 
Switch (config- if)# ip address 192.168.86.17 255.255.255.240 // 为 该 端口 配置 IP 地 址 


Switch (config- if)#exit 
Switch (config)# router ospf 100 
Switch (config- router)# network 192.168.86.16 0.0.0.15 area 0 


接 下 来 配置 路 由 器 的 网 络 地 址 转换 ,实现 内 网 与 Internet 相连 。 具 体 配 置 如 下 。 


Router (config) # interface fastEthernet 0/0 // 进入 路 由 器 F0/0 O 

Router (config- if)# ip nat inside // 将 F010 口 设置 成 内 网 口 

Router (config- if)#exit 

Router (config)# interface fastEthernet 0/1 // 进 入 路 由 器 F011 O 

Router (config- if)# ip nat outside // 将 Fa0/1 口 设置 成 外 网 口 

Router (config- if)#exit 

Router (config)#access- list 1 permit any // 设 置 访问 列表 允许 所 有 内 
// 部 计算 机 访问 外 网 


Router (config)# ip nat inside source list 1 interface fastEthernet 0/1 overload 


// 配 置 网 络 地 址 转换 

接 下 来 将 电信 和 局 的 路 由 器 配置 端口 的 TP 地 址 就 可 以 了 ,分 别 为 : F0/0 的 IP 地 址 为 
210. 96. 100. 86,F0/1 的 IP 地 址 为 202. 102. 1. 1。Web 服务 器 的 IP 地 址 为 202. 102. 1. 2， 
网 关 地 址 为 202. 102. 1. 1. 

经 过 上 面 的 网 络 配置 ,利用 Packet Tracer 模拟 组 建 大 型 单 核心 网 络 就 完成 了 。 用 内 网 
的 一 台 计 算 机 ping 外 网 的 Web 服务 器 ,结果 如 下 。 

PC>ping 202.102.1.2 

Pinging 202.102.1.2 with 32 bytes of data: 

Reply from 202.102.1.2: bytes- 32 time- 172ms TTL- 124 

Reply from 202.102.1.2: bytes-32 time- 141ms TTL- 124 


访问 Web 网 站 结构 如 图 11.2 所 示 。 


Physical | Config | Desktop 


URL |http://202. 102. 1.2 
Packet Tracer 5.0 


Welcome to Packet Tracer 5.0, the best thing since. Packet Tracer 4.0. 
Quick Links 

A small page 

Copyrights 


图 11.2 ”网络 连通 性 测试 结果 图 
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11.3 IPv6 校园 网 的 组 建 过 程 


随 着 IPv4 地 址 的 不 断 减 少 , 以 IPv4 地 址 为 主流 的 网 络 组 建 技术 必 将 退出 历史 舞台 , 取 
而 代 之 的 是 基于 IPv6 的 网 络 组 建 技 术 。 尽 管 IPv6 技术 的 理论 体系 基本 成 熟 ,但 在 实际 的 
应 用 中 ,基于 IPv6 组 网 技术 在 各 行 各 业 的 网 络 组 建 中 还 没有 得 到 普遍 采用 ,需要 不 断 积累 
经 验 。 本 文 以 苏州 大 学 文正 学 院 为 例 ,利用 仿真 技术 实现 基于 IPv6 校园 网 的 组 建 过 程 。 

1. IPv6 校园 网 的 组 建 

基于 IPv6 校园 网 的 组 建 主要 从 网 络 拓 扑 结构 的 构建 及 网 络 设备 选 型 .网 络 设备 互联 配 
置 、 网 络 连通 性 测试 等 方面 进行 。 

2. 网 络 拓扑 构建 及 网 络 设备 选 型 

典型 的 校园 网 的 网 络 拓扑 构建 是 三 层 网 络 架构 , 即 接 人 层 、 汇 聚 层 和 核心 层 。 为 了 更 好 
地 实现 基于 IPv6 的 校园 网 组 建 ,设计 了 Packet Tracer 下 的 网 络 仿真 拓扑 图 ,该 拓扑 图 的 接 
入 层 交 换 机 采用 Cisco 的 2950 ,汇聚 层 交 换 机 采用 Cisco 的 3550 ,核心 层 交 换 机 采用 Cisco 
的 3550, 出 口 路 由 器 采用 Cisco 的 2811。 模 拟 电信 的 路 由 器 采用 Cisco 的 2811 路 由 器 , 整 
个 网 络 拓扑 的 构建 如 图 11. 3 所 示 。 


\ 
E .96.100. 
LAN 210.96.100.85', 2109610 am Internet 
\ 
RO ag 202.102.1.1 


1 N 
—— ÁÁ——— ——Ü arrr Nd 
Routerl 
Router0 M E 


a Server-P1 
Server0 
\、 202.102.1.2 


2950-24 
Switch2 


PC-PT  PC-PT PC-PT PC-PT PC-PT PC-PT PC-PT  PC-PT PC-PT PC-PT PC-PT PC-PT 


PC /PCIN' PC2 Kec- FC4 — PCS PCG PCC PC8 六 PC 一 cl 0 PCI 
电子 工商 城市 自动 行政 后 勤 
信息 系 RAA PËR 控制 系 


图 11.3 典型 的 校园 网 的 三 层 网 络 架构 


在 Packet Tracer 模拟 软件 中 ,三 层 交换 机 对 IPv6 的 支持 并 不 是 太 好 ,为 了 能 顺利 地 完 
成 该 项 目 , 将 三 层 交换 机 替换 为 路 由 器 ,通过 路 由 器 同样 能 够 实现 汇聚 层 和 核心 层 的 功能 ， 
达到 很 好 的 实验 效果 。 

3. 接 入 层 配 置 

首先 根据 网 络 地 址 规划 设置 每 个 部 门 的 终端 计算 机 IPv6 地 址 ,其 次 为 接 入 层 交换 机 进 
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ff VLAN 划分 配置 : 每 台 交 换 机 共 24 口 ,划分 为 3 个 部 门 ,每 个 部 门 8 个 端口 ,其 中 1~8 
号 口 为 一 个 部 门 ,9 一 16 号 口 为 一 个 部 门 ,17 一 24 号 口 为 一 个 部 门 ,每 个 交换 机 的 千 兆 口 
Gigabit Ethernet 用 于 连接 汇聚 层 交换 机 。 具 体 VLAN 划分 如 下 。 


SW1 (config)#vlan 2 

SW1 (config- vlan)# name dianzixinxi 

SW1 (config)t$ vlan 3 

SW1 (config- vlan)# name gongshangguanlixi 
SW1 (config)#vlan 4 

SW] (config- vlan)# name jixiegongchengxi 


SW1 (config)# interface range fastEthernet 0/1-8 
SW1 (config- if- range)# switchport access vlan 2 


SW1 (config)#interface range fastEthernet 0/9- 16 
SW1 (config- if- range)# switchport access vlan 3 


SW1 (config)# interface range fastEthernet 0/17 -24 
SW1(config- if- range) # switchport access vlan 4 


SW1 (config) # interface gigabitEthernet 1/1 
gigabitEthernet 1/1 
SW1 (config- if)# switchport mode trunk 


采用 同样 的 方法 设置 其 他 3 台 交 换 机 的 VLAN. 


4. 汇聚 层 交 换 机 配置 


// 创 建 VLAN2 

// 为 该 VIAN 命 名 

// 创 建 VLAN3 

// 为 VLAN3 命 名 

// 创 建 VLAN4 

// 为 VLAN 命 名 

// 进 入 交换 机 的 1 一 8 号 口 

// 将 交换 机 的 1 一 8 号 口 放 和 人 虚 
// 拟 局 域 网 VLAN2 

// 进 入 交换 机 9 一 16 号 口 

// 将 交换 机 的 9~16 号 口 放 入 
// 虚 拟 局 域 网 VLAN3 

// 进 入 交换 机 的 17 一 24 号 口 

// 将 交换 机 的 17~~24 号 口 放 入 
// 虚 拟 局 域 网 VLAN4 

// 进 入 交换 机 千 兆 口 


// 将 千 兆 口 设置 为 rrunk 模式 


首先 配置 第 一 台 汇聚 路 由 器 ,该 路 由 器 为 第 一 台 和 第 二 台 接 入 交换 机 的 汇聚 路 由 器 , 同 
时 连接 电子 信息 系 、 工 商 管 理 系 、 城 市 轨道 系 。 由 于 路 由 器 的 每 一 个 端口 都 需要 连接 3 个 不 
同 的 部 门 , 所 以 需要 使 用 路 由 器 的 子 端口 ,将 每 个 路 由 器 的 端口 划分 为 3 个 子 端口 。 具 体 配 


置 如 下 。 


Rl (config)# interface fastEthernet 0/0 
R1 (config- if)# no shu 
Rl(config-if)fexit 

Rl (config)# interface fastEthernet 0/0.1 


R1 (config- subif)# encapsulation dotlQ 2 

R1 (config- subif)# ipv6 address 2001:1::1/64 
R1 (config- subif)£ exit 

Rl (config) # interface fastEthernet 0/0.2 


R1 (config- subif)fencapsulation dotlQ 3 


R1 (config- subif)# ipv6 address 2001:2::1/64 


// 进 入 路 由 器 的 端口 Fo/0 

// 激 活该 端口 

// 退 出 

// 进 入 端口 Fo/0 的 第 一 个 子 端 
// 口 模式 

// 将 该 端口 封装 成 dotlq 模 式 , 并 
// 将 该 端口 归于 VLAN2 

// 配 置 该 子 端口 的 reve 地 址 ,该 地 
// 址 即 为 电子 信息 系 的 网 关 地 址 
// 退 出 

// 进 入 端口 Fo/0 的 第 二 个 子 端口 模式 
// 将 该 端口 封装 成 dotlq 模 式 ,并 
// 将 该 端口 归于 VLAN3 

// 配 置 该 子 端口 的 IPv6 地 址 ,该 地 
// 址 即 为 工商 管理 系 的 网 关 地 址 
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R1 (config- subif)#exit // 退 出 
R1 (config)# interface fastEthernet 0/0.3 // 进 入 端口 F0/0 的 第 三 个 子 端口 模式 
R1 (config- subif)# 
R1 (config- subif)# encapsulation dotlQ 4 // 将 该 端口 封装 成 dotlq 模 式 ,并 
// 将 该 端口 归于 VLANA 
R1 (config- subif)# ipv6 address 2001:3::1/64 // 配 置 该 子 端口 的 ITPv6 地 址 ,该 地 
// 址 即 为 城市 轨道 系 的 网 关 地 址 
R1 (config- subif)# no shu // 激 活该 端口 


通过 以 上 配置 ,通过 单 臂 路 由 ,可 以 让 电子 信息 系 、 工 商 管理 系 以 及 城市 轨道 系 的 计算 
机 通过 路 由 器 RI 进行 通信 。 结 果 是 联通 的 ,如 图 11.4 所 示 。 
* PC0 D5 


Physical | Config | Desktop 


Command Prompt 


图 11.4 电子 信息 系 计算 机 ping 城市 轨道 系 计算 机 的 结果 


利用 同样 的 方法 ,配置 路 由 器 R1 的 FO/1 端口 ,以 及 路 由 器 R2 的 Fo/0 和 F0/1 端口 。 

但 是 ,连接 在 不 同 路 由 器 上 的 不 同 部 门 计算 机 之 间 不 能 互相 进行 通信 ,它们 的 通信 需要 
借助 核心 层 路 由 器 ,并 且 需 要 借助 动态 路 由 协议 实 

5. 核心 层 网 络 配置 

首先 配置 路 由 器 RI. 


Rl (config)# interface fastEthernet 1/0 // 进 入 路 由 器 F1/0 端 口 

R1 (config- if)# no shu // 激 活该 端口 

R1 (config- if)# ipv6 address 2001:13::1/64 // 为 该 端口 设置 IPv6 地 址 

R1 (config- if)#exit // 退 出 该 端口 

R1 (config)# ipv6 unicast- routing // 打 开端 口 之 间 IPv6 数 据 包 转发 过 程 
R1 (config)# ipv6 router ospf 64 // 设 置 动态 路 由 协议 0SPF 

R1 (config- rtr)# router- id 2.2.2.2 // 设置 进程 号 

R1 (config- rtr)fexit // 退 出 

R1 (config)# interface fastEthernet 0/0.1 // 进 入 路 由 器 端口 fo/0 的 子 端口 1 

R1 (config- subif)# ipv6 ospf 64 area 0 // 启 动 路 由 器 的 IPv6 ospr 路 由 功能 


R1 (config- subif)fexit 
R1 (config)# interface fastEthernet 0/0. 


N 


R1 (config- subif)#ipv6 ospf 64 area 0 
RI (config- subif)#exit 

R1 (config)£ interface fastEthernet 0/0.3 
R1 (config- subif)#ipv6 ospf 64 area 0 

R1 (config- subif)fexit 

R1 (config) # interface fastEthernet 0/1.1 
R1 (config- subif)# ipv6 ospf 64 area 0 
R1 (config- subif)# exit 

R1 (config) # interface fastEthernet 0/1. 


N 


R1 (config- subif)#ipv6 ospf 64 area 0 

R1 (config- subif)# exit 

R1 (config) # interface fastEthernet 0/1.3 
R1 (config- subif)# ipv6 ospf 64 area 0 

Rl (config- subif)# exit 

R1 (config) # interface fastEthernet 1/0 
R1 (config- if)# 


接 下 来 配置 路 由 器 R2. 


R2 (config)# ipv6 unicast- routing 

R2 (config)# ipv6 router ospf 64 

R2 (config- rtr)#router- id 3.3.3.3 

R2 (config- rtr)fexit 

R2 (config)f interface fastEthernet 0/0.1 
R2 (config- subif)# ipv6 ospf 64 area 0 

R2 (config- subif)fexit 

R2 (config)# interface fastEthernet 0/0.2 
R2 (config- subif)#ipv6 ospf 64 area 0 

R2 (config- subif)#exit 

R2 (config)f interface fastEthernet 0/0.3 
R2 (config- subif)#ipv6 ospf 64 area 0 

R2 (config- subif)fexit 

R2 (config-if)f interface fastEthernet 0/1.1 
R2 (config- subif)# ipv6 ospf 64 area 0 

R2 (config- subif)# exit 

R2 (config)f interface fastEthernet 0/1.2 
R2 (config- subif)£ipv6 ospf 64 area 0 

R2 (config- subif)£exit 

R2 (config)£ interface fastEthernet 0/1.3 
R2 (config- subif)£ipv6 ospf 64 area 0 

R2 (config- subif)£exit 


最 后 配置 核心 路 由 器 core. 
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// 退 出 

// 进 入 路 由 器 端口 F0/0 的 子 端口 2 
// 启 动 路 由 器 的 IPv6 ospr 路 由 功能 
// 退 出 

// 进 入 路 由 器 端口 Fo/0 的 子 端口 3 
// 启 动 路 由 器 的 IPv6 ospr 路 由 功能 
// 退 出 

// 进 入 路 由 器 端口 Fo/0 的 子 端 口 1 
// 启 动 路 由 器 的 IPv6 ospr 路 由 功能 
// 退 出 

// 进 入 路 由 器 端口 Fo/0 的 子 端口 2 
// 启 动 路 由 器 的 IPv6 ospr 路 由 功能 
// 退 出 

// 进 入 路 由 器 端口 F0/0 的 子 端 口 3 
// 启 动 路 由 器 的 IPv6 ospr 路 由 功能 
// 退 出 

// 进 入 路 由 器 端口 F1/0 


// 启 动 路 由 器 的 IPv6 路 由 功能 


// 退 出 

// 进 入 路 由 器 R2 的 端口 F0/0 的 子 端口 1 
// 启 动 路 由 器 的 IPv6 ospr 路 由 功能 

// 退 出 

// 进 入 路 由 器 R2 的 端口 Fo/0 的 子 端口 2 
// 启 动 路 由 器 的 IPv6 ospr 路 由 功能 


// 进 入 路 由 器 R2 的 端口 F0/0 的 子 端口 1 
// 启 动 路 由 器 的 IPv6 ospr 路 由 功能 


// 进 入 路 由 器 R2 的 端口 F0/1 的 子 端口 1 
// 启 动 路 由 器 的 IPv6 ospr 路 由 功能 


// 进 入 路 由 器 R2 的 端口 F0/1 的 子 端 口 2 
// 启 动 路 由 器 的 IPv6 ospr 路 由 功能 


// 进 入 路 由 器 R2 的 端口 F011 的 子 端口 3 
// 启 动 路 由 器 的 IPv6 osPF 路 由 功能 


首先 对 核心 路 由 器 进行 基本 的 配置 ,主要 配置 端口 的 IPv6 地 址 ,具体 配置 如 下 。 


313 


网 络 互联 技术 与 实践 


Router (config)# interface fastEthernet 0 
Router (config- if)# ipv6 address 2001:13: 
Router (config- if)# no shu 

Router (config-if)fexit 

Router (config)# interface fastEthernet 0, 
Router (config- if)# ipv6 address 2001:14: 
Router (config- if)# no shu 


Router (config- if)# 
其 次 配置 动态 路 由 协议 。 


core (config)# ipv6 unicast- routing 

core (config)# ipv6 router ospf 64 

core (config- rtr)$ router- id 4.4.4.4 
core (config)# interface fastEthernet 0/1 
core (config-if)f ipv6 ospf 64 area 0 
core (config-if)fexit 

core (config)f interface fastEthernet 0/0 


core (config- if)# ipv6 ospf 64 area 0 
6. 查看 路 由 器 的 IPv6 路 由 表 


Router show ipv6 route 


通过 命令 show ipv6 route 查看 路 由 器 R1、R2 的 路 由 表 
是 全 的 。 

7. 测试 网 络 的 连通 性 

通过 电子 信息 系 计算 机 ping 学 生 公寓 
ping 的 结果 可 以 看 出 


physical | Config | Desktop 


Command Prompt 


trip 
Maximum 


图 11.5 电子 信息 系 计 算 
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/1 // 进 入 核心 路 由 器 F0/1 端口 
:2/64 // 配 置 该 端口 的 IPv6 地 址 
// 激 活该 端口 

// 退 出 
/0 // 进 入 核心 路 由 器 0/1 端口 
:2/64 // 配 置 该 端口 的 IPv6 地 址 


// 激 活该 端口 


// 启 动 路 由 器 的 IPv6 路 由 功能 

// 设 置 动 态 路 由 协议 0SPF 

// 设 置 进程 号 

// 进 入 核心 路 由 器 F0/1 端口 

// 启 动 路 由 器 的 IPv6 osSFF 路 由 功能 


// 进 入 核心 路 由 器 Fo/0 端口 
// 启 动 路 由 器 的 IPv6 ospr 路 由 功能 


4k 
zü 


显示 路 由 器 的 路 由 表 都 


计算 机 2001:12; :2, 结 果 如 图 11.5 所 示 。 通 过 


,整个 校园 网 络 的 IPv6 网 络 是 联通 的 


机 ping 学 生 公寓 计算 机 的 结果 图 
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11.4 本 章 小 结 


本 章 详 细 介绍 了 校园 网 组 建 的 整个 过 程 , 让 学 生 从 整体 上 把 握 整 个 网 络 工程 的 实施 过 
程 ,从 高 性 能 ,高 可 靠 性 高 稳定 性 ,高 安全 性 、 易 管理 的 万 兆 骨干 网 络 平台 几 个 角度 探讨 了 
校园 网 建设 的 目标 ,校园 网 建设 的 应 用 需求 ,详细 分 析 了 计算 机 网 络 的 设计 方案 、 单 核心 校 
园 网 的 组 建 过 程 ,包括 单 核心 网 络 的 规划 与 设计 、 网 络 互联 设备 的 选 型 . 接 入 层 交 换 机 配置 ， 
以 实现 局 域 网 安全 隔离 ,实现 隔离 网 络 间 互联 互通 ,实现 局 域 网 与 Internet 互联 配置 等 。 

本 章 最 后 探讨 了 IPv6 校园 网 的 组 建 过 程 ,包括 网 络 拓扑 构建 及 网 络 设 备 选 型 、 接 入 层 
配置 .汇集 层 交 换 机 配置 、 核 心 层 网 络 配置 .查看 IPv6 路 由 表 , 以 及 最 终 的 网 络 连通 性 测试 。 
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附 录 
附录 A. Packet Tracer 入 门 教程 


Packet Tracer 是 由 Cisco 公司 发 布 的 一 款 辅 助 学 习 软件 ,为 学 习 思 科 网 络 课程 的 初学 
者 提供 设计 、 配 置 排除 网 络 故障 的 模拟 环境 。 使 用 者 可 以 在 软件 的 图 形 界面 上 直接 通过 拖 
忠 的 方法 建立 网 络 拓 扑 结构 ,并 且 可 以 提供 数据 包 在 网 络 传输 过 程 中 详细 的 处 理 过 程 ,观察 
网 络 实时 运行 情况 。 通 过 该 软件 ,学 习 者 可 以 学 习 思 科 网 络 设备 iOS 的 配置 ,锻炼 故障 排 
查 能 力 , 还 可 以 部 分 验证 计算 机 网 络 的 工作 原理 。 下 面 简 单 介 绍 该 软件 的 使 用 过 程 。 

1. 软件 的 安装 

下 面 以 Packet Tracer 5 为 例 , 介 绍 其 安装 过 程 。Packet Tracer 5 安装 非常 方便 ,通过 
安装 ,提示 单 击 Next( 下 一 步 ) 按 钮 即 可 按照 默认 配置 完成 安装 。 有 具体 安装 过 程 如 图 A. 1 一 
图 A.9 所 示 。 


Welcome to the Cisco Packet 
Tracer 5.3.3 Setup Wizard 


This wil instal Cisco Packet Tracer 5.3.3 on your computer 


It is recommended that you close all other applications before 
continung. 


Click Nest to continue, or Cancel to exi Setup. 


图 A.1 安装 欢迎 界面 


License Agreement 
Please read the folowing important information before continuing. 


Please read the folowing License Agreement You must accept the terms of this 
agreement before continuing wth the instalation. 


Cisco Packet Tracer E 


Software License 'eement 


[IMPORTANT: PLEASE READ THIS CISCO PACKET 
ITRACER SOFTWARE LICENSE AGREEMENT (THE 到 


€ ges speret 
C. Ido not accept the agreement 


[pcm 
图 A.2 同意 许可 协议 


etup 


Select Destination Location 
Where should Cisco Packet Tracer 5.3.3 be installed? 


图 A.3 选择 安装 目录 


Select Start Menu Folder 
Where should Setup place the program's shortcuts? 


2 
fan 


pmummam 


图 A.5 选择 附加 任务 
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acket Tracer 5.3.3 zii xl 


tup 


Ready to Install 
Setup is now ready to begin instaling Cisco Packet Tracer 5.3.3 on your computer. 


Click Install to continue with the installation, or click Back if you want to review or 
change any settings. 


[Destination localion: 
C:\Program Files\Cisco Packet Tracer 5.3.3 


Installing 
Please wait while Setup installs Cisco Packet Tracer 5.3.3 on your computer. 


Extracting fies... 
C. NCisco Packet Tracer 5.3.3 Var Workstation PCommunicatorNewCall png 


Completing the Cisco Packet 
Tracer 5.3.3 Setup Wizard 


Setup has finished instaling Cisco Packet Tracer 5.3.3 on your 
computer. The application may be launched by selecting the 
installed icons. 


Click Finish to exi Setup. 


F Launch Cisco Packet Tracer 


图 A.8 完成 安装 


Benaja, 


New Cluster Move Object Set Tiled Background viewport 


Time: 00:00:48 | Power Cycle Devices Fast Forward Time 


eo mo- 
Beg 


开始 | | (9 |wc [Lem Tacket Tracer. 


图 A.9 软件 运行 界面 
通过 “开始 ”菜单 可 以 找到 软件 的 安装 位 置 ,如 图 A. 10 所 示 。 


> Mindons Catalog 
[^] Windows Update 


iB Internet Explorer 


» (S) Outlook Express. 
pm 


A.10 通过 “开始 "菜单 找到 软件 的 安装 位 置 
2. 软件 界面 介绍 


软件 界面 大 致 分 为 4 个 区 域 ,分 别 为 菜单 栏 区域 . 视 图 区 、 设 备 区 以 及 工作 区 ,具体 如 
图 A.11 所 示 。 


D 菜单 栏 
菜单 栏 比较 简单 ,功能 类 似 于 其 他 应 用 软件 ,包括 新 建 . 打 开 、 保 存 . 打 印 、 活 动向 导 、 复 
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New Cluster Move Object Set Tiled Background Viewport 


空白 处 为 工作 区 


es e I (0 — - 
Routers tmm 
开始 | | I6] ETI È Cisco Packet Tracer | 
图 A.11 软件 界面 区 域 分 布 
制 、 烙 贴 ,撤销 、 重 做 、 放 大、 重 置 ,缩小 \ 绘 图 调 色 板 以 及 定制 设备 对 话 框 。 
2) 视图 栏 
视图 栏 各 图 标的 含义 如 图 A. 12 以 及 图 A. 13 所 示 。 


添加 简单 协议 数据 单元 。 添加 复杂 协议 数据 单元 


T 
选 定 /取消 移动 画布 ”放置 书签 / 贴 便条 MR MA ”调整 形状 大 小 
图 A.12 视图 栏 1 


实时 模式 ， 可 以 操作 模拟 模式 ， 显 示 过 程 


到 
Realtime 


图 A.13 视图 栏 2 
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3) 设备 区 
图 A. 14 右边 为 路 由 器 的 不 同型 号 情况 。 图 A. 15 一 图 A. 17 分 别 表示 交换 机 不 同型 
号 、 集 线 器 不 同型 号 以 及 无 线 设备 不 同型 号 情况 。 


路 由 器 交换 机 集线器 无 线 设备 连 线 路 由 器 不 同型 号 


Power Cycle Devices Fast Forward Time. 


| 二 一 


Switches 


终端 设备 me 定制 设备 多 用 户 连 接 
图 A.14 设备 区 


-" aw = GEA Io Ed 
=m [od Wireless Devices 

T ^ * = [ J 
= - EI 


图 A.16 集线器 不 同型 号 图 A.17 无 线 设备 不 同型 号 


连 线 具体 情况 如 图 A. 18 所 示 。 


ERA RR Console 直 连 线 交叉 线 光纤 电话 线 


PE 一 
eH) 


Connections 


LI- 二 
A e Automatically mE TENTE 


同 轴 电缆 。 串口 线 DCE 端 ”串口 线 DTE 端 
图 A.18 连 线 具体 情况 


终端 设备 具体 情况 如 图 A. 19 所 示 。 
PC 。 笔记 本 电脑 ”服务 器 ”打印 机 了 电话 下 语音 电话 设备 


es NI |J ] 


End Devices 


模拟 电话 | 电视 一 平板 电厂 智能 说 备 无 线 终端 设备 mm 
图 A.19 终端 设备 具体 情况 


3. 在 工作 区 添加 思科 网 络 设 备 及 终端 设备 构建 计算 机 网 络 

D 在 设备 区 选择 组 网 需要 的 网 络 设备 并 将 其 拖 忠 到 工作 区 

首先 选择 组 网 需要 的 路 由 器 ,具体 操作 为 : 在 设备 区 中 选择 路 由 器 ,在 右边 窗口 显示 可 
以 使 用 的 路 由 器 的 种 类 。 选 择 需 要 的 型 号 ,将 其 拖 搜 到 工作 区 ,根据 网 络 需 要 进行 选择 ,本 
网 络 需要 3 台 路 由 器 ,因此 拖 搜 3 台 2811 到 工作 区 ,如 图 A. 20 所 示 。 
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New Cluster ^ Move Object SetTiled Background Viewport| 


Time: 00:05:10 | Power Cycle Devices Fast Forward Time 


eH 


Routers 


]é Jen | mp TESTEN EDHE 


图 A.20 Haih ia TIEK 


其 次 选择 交换 机 ,具体 操作 为 : 在 设备 区 中 选择 交换 机 ,在 右边 窗口 显示 可 以 使 用 的 交 
换 机 的 种 类 。 选 择 需 要 的 型 号 ,将 其 拖 忠 到 工作 区 ,根据 网 络 需要 进行 选择 ,本 网 络 需 要 2 
台 交 换 机 ,因此 拖 搜 2 台 2960 到 工作 区 ,如 图 A. 21 所 示 。 


New Cluster Move Object SetTiled Background Viewport. 


2811 2011 2811 [= 
Routerg Routeri Router2 


x 
Ld E 3 


Time: 00:07:21 | Power Cycle Devices. Fast Forward Time. 


cmm aaa 一 习 
Switches wasser) 2960 eee (esene) [gn Delete | 


mia accro 1000 JS | 
图 A.21 拖 史 交换 机 到 工作 区 
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接 下 来 选择 终端 设备 到 工作 区 ,具体 操作 为 : 在 设备 区 中 选择 终端 设备 ,在 右边 窗口 显 
示 可 以 使 用 的 终端 设备 的 种 类 。 选 择 需要 的 终端 设备 ,将 其 拖 搜 到 工作 区 ,根据 网 络 需要 进 
行 选择 ,本 网 络 需 要 两 台 计算 机 ,因此 拖 忠 两 台 计 算 机 到 工作 区 ,如 图 A. 22 所 示 。 


Ele Edt Optons Vew Ix Extensions Heb 
h---za|Bs5nooaol|e.;.|m Ld 


[Root] New Cluster ^ Move Object Set Tiled Background 


Viewport 


2811 
Routerg Routeri Routerz 


2960-24TT 
Switcho 


a x 
2960-24TT 
E a 


id EA 


End Devices 
deg 
JE CE 

图 A.22 拖 奥 终 端 设备 到 工作 区 


?[2958us 


2) 探讨 设备 可 视 化 界面 
首先 探讨 路 由 器 可 视 化 界面 情况 , 单 击 设备 图 标 , 可 以 弹出 设备 可 视 化 界面 。 图 A. 23 


Physical | config | cu | 


Physical Device View 
NM-1FE-FX 
NM-1FE-TX 


NM-2E2W. 


NM-Cover 
NM-ESW-161 


HWIC-4ESW Venu 
-AP-AG-I TERME in 
CENT physica Miu Logical View. 
Adding Modules: Drag the module to an available 2 
slot on the device 
Removing Modules: Drag the module from the 


图 A.23 路 由 器 设备 可 视 化 界面 


附录 
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视 化 配置 界面 。 图 A. 26 为 路 由 器 命令 行 配置 界面 。 


可 以 添加 
的 物理 模块 
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'NM-Cover 
NM-ESW-161 
HWIC-4ESW 

HWIC-AP-AG-B 


Adding Modules: Drag the module to an available 
slot on the de 


Removing Modules: Drag the module from the. 


图 A.24 路 由 器 物理 界面 结构 图 


VLAN Database 


FastEthernet0/0 


为 路 由 器 设备 可 视 化 界面 。 图 A. 24 所 示 为 路 由 器 物理 界面 结构 图 。 图 A. 25 为 路 由 器 可 


TUR 
网 络 接口 
路 由 器 面板 
电源 按钮 


AUX 接 口 
Console] 


模块 外 形 


Press RETURN to get started! 


A.25 路 由 器 可 视 化 配置 界面 
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exportücisco.com. 
cisco 2811 (MPCS60) processor (revision Ox200) with 60416K/5120K bytes of memory 


Processor board ID JADOS19OMTZ (4292991495) 
MS60 processor: part number 0, mask 49 

2 FastEthernet/IEEE 802.3 interfaces) 

239K bytes of non-volatile configuration memory. 

62720K bytes of ATA CompactFlash (Read/Write) 

Cisco IOS Software, 2900 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(15)T 
1, RELEASE SOFTWARE (fc2) 

Technical Support: http://www.cisco.com/techsupport 

Copyright (c) 1986-2007 by Cisco Systems, Inc. 

Compiled Wed 18-Jul-07 06:21 by pt rel team 


--- System Configuration Dialog --- 


Continue with configuration dialog? [yes/no]: n 


Press RETURN to get started! 


A.26 路 由 器 命令 行 配置 界面 


其 次 探讨 交换 机 可 视 化 界面 。 图 A. 27 为 交换 机 可 视 化 物理 界面 。 图 A. 28 为 交换 机 
可 视 化 物理 配置 界面 。 图 A. 29 为 交换 机 可 视 化 命令 行 配置 界面 。 


A.27 交换 机 可 视 化 物理 界面 
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witchü 


`. 


Press RETURN to get started! 


witch0 


| cong cu | 


Model revision number Bo 
Motherboard revision number co 

Model number WS-C2960-24TT 
System serial number FOC1033212Y 
Top Assembly Part Number 800-26671-02 
Top Assenbly Revision Number 

Version ID 

CLEI Code Number 


WS-C2960-24TT , C2960-LANBASE-M 


Cisco I0S Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)FX, PELEAS 
X SOFTWARE (fcl) 

Copyright (c) 1986-2005 by Cisco Systems, Inc. 

Compiled Wed 12-0ct-05 22:05 by pt team 


Press RETURN to get started! 


图 A. 29 交换 机 可 视 化 命令 行 配置 界面 
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下 面 探讨 终端 设备 可 视 化 界面 。 如 A. 30 为 终端 计算 机 可 视 化 界面 。 图 A. 31 为 终端 
计算 机 可 视 化 配置 界面 。 图 A. 32 为 终端 计算 机 桌面 配置 选项 。 图 A. 33 为 终端 计算 机 可 
视 化 网 络 参数 配置 。 


图 A.31 终端 计算 机 可 视 化 配置 界面 
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IP Configuration 


G Static 


IP Address 
Subnet Mask 


Default Gateway 


DNS Server 


Server-PT 


图 A.33 终端 计算 机 可 视 化 网 络 参数 配置 
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3) 将 设备 与 设备 使 用 传输 介质 连接 起 来 

路 由 器 与 路 由 器 若 要 通过 广域网 串口 连接 起 来 ,需要 有 相应 的 网 络 端口 。 由 于 默认 
2811 路 由 器 没有 串口 模块 ,因此 需要 在 2811 路 由 器 上 添加 串口 模块 。 有 具体 添加 模块 的 过 
程 如 下 。 

首先 单 击 思科 路 由 器 2811, 弹 出 路 由 器 可 视 化 配置 界面 ,如 图 A. 34 所 示 。 


Physical Config CU 


Physical Device View 
Zoom In | Original Size — | Zoom Out 
/.— NM-2FE2W 
NM-2W 
NM-4A/S 
NM-4E 
NM-8A/S 
NM-8AM 
NM-Cover T 3i 
Customize Customize 
z Icon in Icon in 
— --—À Physical View Logical View 
Adding Modules: Drag the module to an available ^ 4 [ — 
slot on the device. SE 
Removing Modules: Drag the module from the v LI 


图 A.34 路 由 器 可 视 化 配置 界面 


其 次 关闭 路 由 器 的 电源 开关 ,使 路 由 器 处 于 断 电 状 态 。 

最 后 选择 左边 Physical 窗口 中 的 WIC-2T 模块 ,WIC-2T 端口 卡 是 一 款 模块 端口 卡 , 产 
品 概述 为 两 端口 串 行 广域网 端口 卡 ,支持 V. 35 端口 。 将 该 端口 卡 拖 放 到 路 由 器 上 插入 相 
应 的 位 置 , 松 开 鼠标 。 单 击 电源 开关 ,打开 电源 ,结果 如 图 A. 35 所 示 。 

采用 同样 的 方法 将 其 他 两 台 路 由 器 添加 到 相应 的 模块 。 将 终端 计算 机 与 交换 机 相连 的 
过 程 如 下 。 

首先 选择 连接 线 缆 类 型 ,由 于 终端 计算 机 与 交换 机 之 间 相 连 使 用 直通 线 , 因 此 选择 直通 
线 , 单 击 线 缆 类 型 的 直通 线 , 然 后 将 鼠标 放置 在 终端 计算 机 上 , 单 击 , 选 择 FastEthernet, 如 
图 A. 36 所 示 ,接着 将 鼠标 放置 在 交换 机 上 , 单 击 ,弹出 可 以 连接 的 交换 机 的 端口 ,如 图 A. 37 
所 示 。 选 择 一 个 端口 , 单 击 , 将 终端 计算 机 与 交换 机 相连 ,如 图 A. 38 所 示 。 

同样 将 交换 机 与 路 由 器 通过 FastEthernet 端口 相连 ,如 图 A. 39 所 示 。 

将 路 由 器 与 路 由 器 通过 串口 连接 起 来 ,具体 操作 如 下 。 
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Physical Config 


NM-1FE2W Pi 


hysical Device View 


NM-2E2W 


| OrginalSize | 


Customize 
Icon in 
WIC-Cover — v Physical View 


(s cm e 


Adding Modules: Drag the module to an available slot on the ^ z - o 本 
device. ar 


A a S 


图 A.35 插入 模块 界面 
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New Cluster 


Move Object SetTiled Background Viewport 


2811 
Router2 


2960-24TT 
Switch 


Realtime 
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Connections 


sefe 


| — Copper Straight-Through 


New | Delete 
— Toggle PDU List Window 
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A.36 选择 直通 线 连接 计算 机 与 交换 机 


New Cluster. Move Object Set Tiled Background. Viewport 


2960-24TT 
Switch 


Connectio. 


图 A.37 交换 机 可 使 用 端口 


E S 
Logical [Root] New Cluster — Move Object Set Tiled Background Viewport 
2811 2811 2811 | 4» 
Routerg Routerl Router2 
2960-24TT 
Switchl 


目 
* 
Q, 
go ou 


E © 
1 20 | Power Cycle Devices. Fast Forward Time. Realtime 
c wHNOI- (a ED 
à 
Connections z 


Copper Straight-Through 


A.38 计算 机 与 交换 机 连接 成 功 图 
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= en | | e? 
[ New Cluster 


Move Object Set Tiled Background Viewport 


2811 2811 
'outerü Routerl Router2 


29f0-24TT 2960-24TT 
Switchl 


Connections 


deg 


图 A.39 交换 机 与 路 由 器 连接 成 功 图 


首先 选择 线 缆 类 型 为 路 由 器 的 串口 DCE 端 或 者 DTE 端 ,在 路 由 器 上 单 击 ,在 弹出 的 窗 
口中 选择 串口 类 型 ,如 图 A. 40 所 示 。 将 鼠标 放置 在 另 一 台 路 由 器 上 单 击 ,在 弹出 的 窗口 中 


Logical [Root] New Cluster Move Object Set Tiled Background. Viewport 


Router2 hs 
29 poser 2960-24TT x 
witchO Switchl C 
g 2 Hu 
PC-PT PC-PT 1 
PCO PCL 
E] 1 | 
4 zf] © 
Time: 03:05:18 | Power Cycle Devices Fast Forward Time Realtime 


xm Senario o g] (re | esetaus [Source _|Destind 
ecd od-—— 


Connections. E 
seza s Toggle PDU List Window 


Serial DCE 


amsa |= [ener r IS | /5 ol m] 
图 A.40 选择 路 由 器 串口 
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同样 选择 串口 。 这 样 ,两 台 路 由 器 通过 串口 就 连接 起 来 了 。 采 用 同样 的 方法 连接 其 他 路 由 
器 与 路 由 器 ,具体 如 图 A. 41 所 示 。 


Cisee Packet Tracer 
Be Options View Tools Extensions Help 
EEr Aaa Li 


Logical [Root] New Cluster Set Tiled Background — — Viewport 


[Hove object (Shi term 


7] 


2940-2477 2960-24TT 
Switchl 


Connections 
seza 
esteso 


图 A.41 路 由 器 与 路 由 器 连接 成 功 图 


利用 同样 的 方法 将 其 他 设备 连接 起 来 ,最 终 如 图 A. 42 所 示 。 


Logical [Root] New Cluster — Move Object SetTiled Background Viewport. 


y 


CIKO) 
Time: 03:10:09 | Power Cycle Devices Fast Forward Time Realtime 
[Sesso es Source |) 
= 加固 加 四 EC mmm 
Connections / | wee | Delete 
« F = 4 Lu ist Wir | 
Ed Copper Straight-Through IE hes: 


amj ag 138 | | S| e|9mes ws 
图 A.42 整个 网 络 拓 扑 连 接 成 功 图 
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最 终 可 以 通过 对 网 络 设备 进行 配置 ,实现 网 络 互 联 互通 ,整个 配置 过 程 和 真实 设备 几乎 
一 样 。 


附录 B GNS3 入 门 教程 


GNS3 软件 是 一 款 优秀 的 具有 图 形 化 界面 ,可 以 运行 在 多 平台 的 网 络 仿真 软件 , 它 是 
Dynagen 的 图 形 化 前 端 环 境 工 具 软 件 , 而 Dynamips 是 仿真 iOS 的 核心 程序 。Dynagen 运 
行 在 Dynamips 之 上 ,目的 是 提供 更 友好 的 、 基 于 文本 的 用 户 界面 。 

GNS3 允许 在 Windows, Linux 系统 上 仿真 iDS, 其 支持 的 路 由 器 平台 以 及 防火 墙 平台 
(PIX) 的 类 型 非常 丰富 。 通 过 在 路 由 器 插 槽 中 配置 上 EtherSwitch 卡 ,也 可 以 仿真 该 卡 所 支 
持 的 交换 机 平台 。GNS3 运行 的 是 实际 的 10S, 能 够 使 用 iOS 所 支持 的 所 有 命令 和 参数 ,而 
Packet tracer 仿真 软件 不 能 支持 很 多 命令 。GNS3 安装 程序 中 不 包含 iOS 软件 ,需要 另外 
获取 。 

1. GNS3 安装 

从 网 上 下 载 GNS 安装 程序 包 , 本 实验 使 用 的 是 GNS3-0. 7. 3-win32-all-in-one. 双击 程 
序 进行 安装 。 整 个 GNS3 安装 过 程 如 图 B.1 一 图 B. 9。 


ZPO RED FEV RAW IAD HSU 
OME- O- T| PRR -xXHEX|$ 2 X 加 | 回 - 


Htt W fO c: \GNS3-0. 7. 3-win32-all-in-one EIL 


Xt 
(Q) GN$3-0. 7, 3-wi n32- a11-in-one. exe 14,470 到 ”应 用 程序 2010-12-12 15:5i 
BE | E) ckss_PChone 下 载 介绍 . txt 2 玛 文本 文档 2010-12-13 20:2 
AE] PCHome_downl oad. htnl 1 KB HINL Document 2007-8-23 15:38 
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图 B.1 安装 程序 
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Welcome to the GNS3 0.7.3 Setup 
Wizard 


This wizard wil guide you through the installation of GNS3 
0.7.3. 


Tt is recommended that you close all other applications 
before starting Setup. This wil make t possible to update 
relevant system files without having to reboot your 
computer. 


Click Next to continue. 


图 B.2 安装 欢迎 界面 


Please review the license terms before instaling GNS3 0.7.3. 


Press Page Down to see the rest of the agreement, 


GNU GENERAL PUBLIC LICENSE 
Version 2, June 1991 


Copyright (C) 1989, 1991 Free Software Foundation, Inc., 
51 Frankin Street, Fifth Floor, Boston, MA 02110-1301 USA 
Everyone is permitted to copy and distribute verbatim copies 
of this license document, but changing ttis not alowed, 
Preamble 
| The lenses for most software are designed to take away your zl 


IF you accept the terms of the agreement, click I Agree to continue. You must accept the 
agreement to install GN53 0.7.3. 


Nullsoft Install System v2.46 


Lime [gm] ccm 


| c3 cverss-o 7. 3-vinse. | 图 GES3 0.7.3 Setup 
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图 B.3 安装 许可 协议 


附录 


335 


网 络 互联 技术 与 实践 


Choose Start Menu Folder 
Choose a Start Menu folder for the GNS3 0.7.3 shortcuts. 


Select the Start Menu folder in which you would ike to create the program's shortcuts. You 
can also enter a name to create a new folder. 


JE NR 


[Cisco Packet Tracer 
[iMai 


|PGP 

附件 
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图 B.4 选择 开始 菜单 文件 夹 


Choose which features of GNS3 0.7.3 you want to install. 


Check the components you want to install and uncheck the components you don't want to 
install. Click Next to continue. 


Select components to install; 


Dynamips 0.2.8 RC2 
Qemu 0.11.0 patched 
[vj eus 


Internet 


Explorer Space required: 57,4MB. 


Ndlsoft Install System v2.45 
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B.5 选择 安装 组 件 


@ GES3 0.7.3 Setup 


Choose Install Location 
Choose the folder in which to install GN53 0.7.3. 


Setup will install GN53 0.7.3 in the following folder. To install in a different folder, click Browse 
and select another Folder. Click Install to start the installation. 


p Destination Folder 


Ems Browse... 


Internet 
Explorer 


Space required: 57.4MB. 
Space available: 7.2GB 


Nullsoft Install System v2.46 


图 B.6 选择 安装 路 径 


9 


我 的 文档 WinPcap 4.1.2 Installer 
Welcome to the WinPcap 4.1.2 Installation Wizard 


This product is brought to you by 
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图 B.7 安装 WinPap 
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[Besora 014 
Installing 
Please wait while GN53 0.7.3 is being installed. 


Extract: qmngdá.dil 


Output folder: C:\Program Files|GNS3lpluginsliconengines. 
Extract: qsvgcons. dl 

Extract: qsvoiconda. dil 

Output folder: C:\Program FileslGNS3lpluginslimageformats 
Extract: qgf.di 

Extract: qgifdá. dil 

Extract: qico4. 吕 


Extract: qjpegdá.di 
Extract: qmngs.di 
Extract: qmngda. di 


NalsoftInstall System v2:46. 
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回收 站 


图 B.8 程序 安装 进行 中 
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图 B.9 程序 安装 完成 
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附录 
安装 成 功 ,计算 机 桌面 上 会 出 现 GNS3 的 运行 快捷 方式 ,如 图 B. 9 所 示 。 
2. 为 网 络 设备 添加 OS 
GNS3 程序 本 身 不 带 有 iOS, 需 要 另外 准备 Cisco iOS 文件 。 通 过 以 下 步骤 在 Cisco 
Router c3660 路 由 器 中 添加 iOS. 
CD 将 iOS 文件 放置 在 计算 机 中 ,路 径 中 不 含 中 文字 符 , 如 图 B. 10 所 示 。 


局 cvsrarswsearesem S 


2008-5-30 17:53 
2010-7-28 16:00 


Æ B.10 将 iOS 文 件 放置 在 计算 机 的 C 盘 中 


(2) 单 击 GNS3 窗口 中 的 Edit 菜单 ,选择 IOS images and hypervisors, 在 iOS 设置 中 选择 
Image file 文件 路 径 。 其 中 平台 选择 c3600, 型 号 选择 3660, 单 击 “ 保 存 ” 按 钮 ,如 图 B.11 一 图 B. 13 
所 示 。 


Dynagen management console for Dynsmips (adap. 
Copyright (c) 2008-2010 GHS3 Project 


图 B.11 进入 添加 iOS 界面 
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图 B.12 选择 对 应 的 iOS 版 本 


图 B.13 选择 Image file 以 及 Platform 
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(3) 测试 Dynamips 运行 路 径 。 具 体操 作 如 下 : 选择 “编辑 ”一 “首选 项 ”一 Dynamips 一 
“测试 ”, 如 果 出 现 Dynamips successfully started, 就 说 明 Dynamips 运行 环境 正常 ,如 图 B. 14 
所 示 。 


[vcmriwm es nie IE 


[zo — à sio — — zip» à— 3h £5 


图 B.14 测试 运行 环境 


3. 计算 并 设置 IDLE 值 

IDLE 值 的 设置 是 为 了 减少 CPU 的 利用 率 。 不 合理 的 设置 将 使 CPU 的 使 用 率 达 到 
100%. IDLE 值 的 设置 过 程 如 下 。 

(1) 在 GNS3 中 拖 动 一 台 Router c3600 路 由 器 到 工作 窗口 ,运行 该 路 由 器 ,如 图 B. 15 
所 示 。 单 击 Start 按钮 ,开启 该 路 由 器 。 

(2) 右 击 该 路 由 器 ,在 弹出 的 菜单 中 选择 IDLE PC, 系 统 将 自动 计算 IDLE 值 ,如 图 B. 16 
所 示 。 

(3) 在 弹出 的 IDLE 窗口 中 选择 带 * * ”号 的 数值 相对 较 大 的 选项 , 单 击 “ 确 定 ” 按 钮 ,如 
图 B. 17 所 示 。 

4. 在 设备 中 添加 模块 

组 网 时 有 时 设备 中 没有 需要 的 端口 ,这 时 需要 在 设备 中 添加 模块 ,以 扩充 设备 的 端口 ， 
如 图 B. 18 所 示 , 需 要 在 路 由 器 中 添加 模块 。 具 体操 作 如 下 : 

(1) 首先 双击 设备 ,弹出 设备 配置 界面 ,如 图 B. 19 所 示 。 
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图 B.15 拖 动 路 由 器 到 工作 窗口 
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图 B.16 计算 IDLE 值 
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图 B.17 选择 带 “* "号 的 数值 相对 较 大 的 选项 
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B.18 需要 添加 模块 的 设备 
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图 B.19 设备 配置 界面 


(2) 在 窗口 的 左边 选择 需要 添加 模块 的 设备 ,这 里 选择 R1, 在 窗口 的 右边 选择 Slots. 
如 图 B. 20 所 示 。 


C M Routers c3600 
ut R1 node 


General | Memories and disks Slots | Advanced | 


p Adapters 


slot 0: [Leopard-2FE z 
aarja 
slot 2. 
slot 3: 
slot 4 
slot 5 
slot 6 


slot T 


aeg |eos M Node configurator IEJ] e|2o?8 14:18 
图 B.20 添加 模块 窗口 
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选择 添加 的 模块 , 单 击 OK 按钮 ,在 相应 的 设备 上 添加 相应 的 模块 。 

5. 构建 网 络 拓扑 完成 网 络 实验 

首先 将 网 络 设备 拖 动 到 工作 窗口 中 ,如 图 B. 21 所 示 , 拖 动 3 台 路 由 器 到 工作 窗 


EE 


PEA Ted [zm 


Mi Router -1700 POR 
Router c2600 E 
Router c2691 [ 


Mi Router -7200 

iii PI firewal 

iB ASA firewall 
Juniper router 

MED Ethernet switch 
ATM bridge 
ATH switch 


Frame Relay switch 
EtherSwi tch router 


ms 
BB Qem host 
Cloud Dynagen management console for Dynamips (adapted for GNS3) 
Copyright (c) 2008-2010 GNS3 Project 


2 


图 B.21 拖 动 设备 至 工作 窗口 


将 设备 连接 起 来 ,具体 操作 为 : 选择 菜单 中 的 Add a link ,在 弹出 的 窗口 中 选择 连接 的 
链 路 类 型 ,这 里 选择 Serial, 如 图 B. 22 所 示 。 将 鼠标 放置 于 设备 上 单 击 ,将 设备 连接 起 来 ， 
如 图 B. 23 所 示 。 

单 击 菜单 中 的 Start 按钮 开启 设备 ,如 图 B. 24 所 示 。 

通过 双击 网 络 设备 ,可 以 对 设备 进行 配置 ,如 图 B. 25 所 示 。 

对 网 络 设备 的 配置 可 以 借助 SecureCRT 软件 进行 ,具体 操作 过 程 如 下 。 

首先 查看 网 络 设备 端口 号 ,方法 如 下 : 右 击 设备 ,在 弹出 的 窗口 中 选择 Change console 
port, 如 图 B. 26 及 图 B. 27 所 示 。 

采用 同样 的 方法 查看 其 他 两 台 设 备 的 端口 分 别 为 2001 和 2002。 运 行 SecureCRT 软 
件 , 参 数 设置 如 图 B. 28 一 图 B. 30 所 示 。 

最 终 通过 SecureCRT 软件 对 设备 进行 配置 ,如 图 B. 31 所 示 。 
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B.22 选择 连 线 类 型 
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图 B.23 设备 连 线 
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图 B.24 开启 设备 
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图 B.25 对 设备 进行 配置 
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图 B. 27 查看 设备 端口 号 2 
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图 B.28 SecureCRT 参数 设置 
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6. 整合 GNS3 和 VMware 组 建 虚实 结合 的 综合 网 络 实 训 平台 

1) 安装 VMware 虚拟 机 软件 

下 载 安 装 VMware 虚拟 机 软件 ,并 在 VMware 中 安装 网 络 操作 系统 Windows 
Server 2003, 

2) 构建 网 络 技术 综合 实 训 拓 扑 结构 

实 训 拓扑 的 构建 涉及 思科 路 由 器 ,本 机 操作 系统 和 虚拟 机 操作 系统 , 现 构建 一 个 简单 的 
网 络 拓扑 ,包括 3 台 c3660 路 由 器 .本 机 系统 和 虚拟 机 系统 ,具体 如 图 B. 32 所 示 。 


192.168.4.0/24 
¿C2 


图 B.32 网 络 技术 综合 实 训 拓扑 结构 


路 由 器 R1 和 路 由 器 R2 之 间 通 过 串 行 链 路 S0/0 相连 ,路 由 器 R2 的 串 行 端口 S0/1 和 
路 由 器 R3 的 串 行 端口 So/0 相连 ,路 由 器 RI 的 端口 Fo/0 和 虚拟 机 VMware 相连 ,也 就 是 
和 VMware 中 安装 的 Windows Server 2003 相连 ;路 由 器 R3 的 端口 F0/0 和 本 机 相连 。 通 
过 相关 网 络 配置 ,最 终 达到 本 机 真实 操作 系统 和 VMware 中 的 操作 系统 通过 仿真 软件 
GNS3 进行 通信 ,实现 虚实 结合 的 网 络 综合 实 训 平台 的 搭建 。 

3) 桥接 真实 网 卡 和 虚拟 机 网 卡 

(1) 桥接 虚拟 机 网 卡 。 

按照 图 B. 32 在 GNS3 中 构建 拓扑 ,将 Cloud C1 桥接 到 虚拟 机 系统 ,步骤 如 下 : Dd ds 
Cloud Cl1 ,选择 “配置 *, 在 弹出 的 窗口 中 选择 Cl, 在 以 太 网 NIO 中 选择 虚拟 机 网 卡 
VMnet8 , 单 击 “添加 ”按钮 。 

(2) 桥接 本 机 网 卡 。 

将 Cloud C2 桥接 到 本 机 系统 ,步骤 如 下 : @ 右 击 Cloud C2 ,选择 “配置 ,在 弹出 的 窗口 
中 选择 C2, 在 以 太 网 NIO 中 选择 “本 地 连接 ”, 单 击 “ 添 加 ”按钮 。 

4) 配置 网 络 ,以 实现 虚实 结合 网 络 互 联 互通 

CO 配置 网 络 设备 。 

右 击 路 由 器 R1, 选 择 Console, 进 行 如 下 配置 。 


Rl# config t // 进 入 全 局 配置 模式 
R1 (config)# interface fastEthernet 0/0 // 进 入 端口 Fo/0 
R1 (config- if)# ip address 192.168.1.1 255.255.255.0 // 为 端口 配置 ITP 地 址 
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R1 (config-if)£no shu // 激 活该 端口 
Rl(config-if)fexit // 退 出 

R1 (config)# interface serial 0/0 // 进 入 串 行 端口 s0/0 
R1 (config- if)# ip address 192.168.2.1 255.255.255.0 // 为 该 端口 设置 IP 地 址 
R1 (config- if)#no shu // 激 活该 端口 


同样 设置 路 由 器 R2, 将 路 由 器 R2 的 S0/0 端口 IP 地 址 设置 为 192. 168. 2. 2;S0/1 的 端 
O IP 地 址 设置 为 192. 168. 3. 1。 将 路 由 器 R3 的 s0/0 的 端口 TP 地 址 设置 为 192. 168. 3. 2; 
F0/0 的 端口 TP 地 址 设置 为 192. 168. 4. 1。 

(2) 配置 动态 路 由 协议 RIP, 使 网 络 互 联 互通 ,具体 设置 如 下 。 

R1 (config)# router rip // 运 行动 态 路 由 协议 RIP 


R1 (config- router) # network 192.168.1.0 
R1 (config- router) # network 192.168.2.0 


E 


R2 (config)f router rip 
R2 (config- router) # network 192.168.2.0 
R2 (config- router) # network 192.168.3.0 
R3 (config)# router rip 
R3 (config- router) # network 192.168.3.0 
R3 (config- router) # network 192.168.4.0 


(3) 通过 show ip route 命令 查看 路 由 器 的 路 由 表 。 


Rl# show ip route // 查 看 路 由 表 
Gateway of last resort is not set 

R 192.168.4.0/24 [120/1] via 192.168.2.2, 00:00:21, Serial0/O 

e 192.168.1.0/24 is directly connected, FastEthernet0/0 

c 192.168.2.0/24 is directly connected, Serial0/0 

R 192.168.3.0/24 [120/1] via 192.168.2.2, 00:00:21, Serial0/O 


同样 查看 路 由 器 R2 和 R3 的 路 由 表 , 结 果 显 示 路 由 器 的 路 由 表 正 常 。 
(4) 配置 终端 计算 机 。 
设置 虚拟 机 操作 系统 和 本 机 操作 系统 的 网 络 参数 配置 , 见 表 B. 1 。 


表 B.1 网 络 参数 配置 表 


操作 系统 IP 地 址 子 网 掩 码 默认 网 关 
虚拟 机 操作 系统 192.168.1.2 255. 255. 255. 0 192.168.1.1 
本 机 操作 系统 192. 168. 4. 2 255. 255. 255. 0 192. 168. 4. 1 


(5) 虚实 结合 网 络 综合 实 训 平台 网 络 连通 性 测试 ,通过 ping 命令 测试 本 机 和 虚拟 主机 
的 网 络 连通 性 。 由 于 经 过 了 两 台 路 由 器 ,所 以 返回 的 结果 应 该 为 125 。 
下 面 是 利用 本 机 ping 虚拟 主机 的 测试 结果 。 


C:\Documents and Settings\Administrator>ping 192.168.1.2 
Pinging 192.168.1.2 with 32 bytes of data: 
Reply from 192.168.1.2: bytes=32 time= 41ms TTL-125 
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Reply from 192.168.1.2: bytes-32 time- 39ms TTL-125 
Reply from 192.168.1.2: bytes-32 time- 41ms TTL-125 
Reply from 192.168.1.2: bytes-32 time- 40ms TTL-125 
Ping statistics for 192.168.1.2: 

Packets: Sent —4, Received =4, Lost =0 (0$1oss), 
Approximate round trip times in milli- seconds: 


Minimum —39ms, Maximum = 4lms, Average = 40ms 


结果 显示 ,网 络 是 联通 的 。 
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EVE-NG(CEmulated Virtual Environment-Next Generation) 的 全 称 为 下 一 代 虚 拟 仿真 
环境 ,是 深度 定制 的 Ubuntu 操作 系统 ,融合 了 dynamips、IOL、KVM, 可 以 直接 安装 在 x86 
架构 的 计算 机 上 。 另 外 , 它 也 有 ova 版 本 ,可 以 直接 导入 VMware 等 虚拟 机 中 运行 。 

该 仿真 软件 的 优点 为 : 采用 B/S 模型 ,只 在 服务 器 上 安装 环境 ,网 络 中 任何 安装 浏览 
器 的 设备 在 任何 时 间 、 任 何 地 点 均 可 访问 服务 器 ,完成 实验 练习 。 特 别 是 在 教师 上 课 过 程 
中 ,通过 教室 的 教师 机 可 以 随时 访问 实验 环境 ,演示 实验 效果 。 而 真实 环境 只 能 在 特定 时 
间 特定 场合 进行 实验 。 四 对 客户 端 操作 系统 没有 要 求 ,客户 端 只 须 运 行 浏览 器 软件 , 且 占 
用 系统 资源 较 少 ,保证 实验 顺利 进行 。@ 多 用 户 可 同时 使 用 ,解决 了 真实 环境 多 用 户 共用 一 
组 实验 设备 问题 。@ 对 学 生 配 置 的 实验 进行 自动 保存 ,包括 网 络 拓扑 及 配置 过 程 ,方便 老师 
课 后 批改 。@ 对 设备 命令 的 支持 程度 几乎 完美 。@ 能 够 支持 其 他 厂家 的 设备 。 

基于 EVE-NG 虚拟 仿真 实验 平台 的 搭建 过 程 如 下 。 

1. 在 服务 器 上 安装 EVE-NG 

目前 ,EVE-NG 提供 了 两 种 安装 方式 : Diso 安装 盘 ; @ova 虚拟 机 模板 。 采 用 ova 虚 
拟 机 模板 无 论 是 安装 ,还 是 维护 , 均 较为 方便 。 首 先 在 网 络 中 下 载 EVE-NG 虚拟 机 ova 模 
板 文件 Eve-NG Community Unofficial Edition 2. 0. 3-66; 其 次 在 服务 器 上 安装 虚拟 机 软件 
VMware; 最 后 在 虚拟 机 软件 VMware 中 通过 “文件 ”一 “打开 ”找到 ova 模板 文件 ,导入 
EVE-NG 虚拟 机 。 

由 于 内 存 `.CPU、 硬 盘 资 源 对 实验 环境 的 作用 影响 较 大 ,所 以 导入 成 功 首先 需要 对 虚拟 
机 资源 的 内 存 `.CPU 以 及 硬盘 进行 设置 ,以 满足 虚拟 机 运行 环境 的 要 求 。 另 外 ,设置 CPU 
虚拟 化 ,类 似 于 在 BIOS 中 开启 CPU 虚拟 化 。 具 体操 作为 :“ 虚 拟 机 设置 ?一 “处 理 器 ”一 
“在 虚拟 化 引擎 中 将 虚拟 化 Intel VT-x/EPT 或 AMD-V/RVICVO", 

2. 初始 化 EVE-NG 

开启 虚拟 机 ,运行 后 的 界面 如 图 C. 1 所 示 ,默认 账户 为 底层 Ubuntu 系统 登录 账户 ,用 
户 名 为 root, 密 码 为 eve, 登 录 后 提示 修改 密码 ,密码 修改 完 , 提 示 输 入 DNS domain name. 
接着 出 现 界面 Use DHCP/Static IP ADDRESS, 设 置 是 动态 获得 IP, 还 是 手动 指定 I 地 
址 。 基 本 设置 完成 后 ,重新 启动 系统 。 

3. 通过 客户 端 Web 浏览 器 登录 EVE-NG 

建议 客户 端 采 用 Chrome 浏览 器 根据 EVE-NG 提示 的 IP 地 址 登录 EVE-NG, 这 里 默 


附录 


353 


网 络 互联 技术 与 实践 


354 


(default root passuord i 
E http://192.168.1.103 

[Ej Eve-NG Community Unofficial Editior 3 : 
P REDENN — doin 


图 C.1 初次 运行 EVE-NG 界面 


认 IP 地 址 为 192. 168. 1. 103 ,客户 端 登录 界面 如 图 C. 2 所 示 。 采 用 默认 用 户 名 admin ,密码 
eve, YEE html5 console 登录 系统 ,登录 系统 后 的 界面 如 图 C. 3 所 示 。 在 System 菜单 下 ,可 
以 查看 系统 状态 。 在 Management 菜单 下 ,可 以 添加 、 删 除 登 录用 户 。 在 Main 菜单 的 新 建 
Folder 下 ,可 以 创建 新 的 实验 案例 。 初 始 状态 下 几乎 没有 可 用 的 设备 ,需要 导入 相应 的 镜 
像 文 件 , 使 这 些 设备 可 以 使 用 。 


2.0.3-66 


Sign in to start your session 


图 C.2 客户 端 登录 界面 


RE Main meaa x 


€ 5 Q ouis 


daFilemamager curent pesitior ! root 


Choose a lab for more info. 


图 C.3 登录 系统 后 的 界面 


4. EVE-NG 导入 dynamips 和 IOL 

dynamips 的 原名 为 Cisco 7200 Simulator, 目 的 是 模拟 Cisco7200 路 由 器 。 目 前 该 模拟 
器 能 够 支持 多 个 路 由 器 平台 。IOL 的 全 称 是 Cisco IOS on Linux, 可 以 在 基于 x86 平台 的 任 
Xi Linux 发 行 版 系统 上 加 载 IOU. 

首先 下 载 dynamips 的 镜像 文件 c3725-adventerprisek9-mz. 124-15. T14. image 和 
c7200-adventerprisek9-mz. 152-4. S6. imag, IOL 镜像 文件 i86bi_linux-l3-adventerpr- isek- 
15. 4. 2T. bin, i86bi-linux-L2-advipservicesk9-M-15. 1-20140814bin 以 及 CiscoIOUKeygen. 
py; 将 dynamips #41% t f£ $/opt/unetlab/addons/dynamips 目录 下 ,用 SSH 登录 到 EVE. 
38 1160 4 /opt/unetlab/wrappers/unl wrapper -a fixpermissions ,修正 镜像 权限 。 

将 IOL 镜像 文件 全 部 上 传 到 /opt/ unetlab/addons/iol/bin 目录 下 ,生成 并 编写 license. 
首先 确保 CiscolOUKeygen. py 已 经 上 传 ,执行 命令 cd /opt/unetlab/addons/iol/bin/; 
python CiscoIOUKeygen. py. 

客户 端 Web 登录 EVE-NG, 通 过 左边 的 菜单 add an object-node 看 到 可 以 使 用 的 设备 
情况 ,如 图 C.4 所 示 。 


Template 


Nothing selected 


Cisco IOS 1710 (Dynamips) 


Cisco IOS 3725 (Dynamips) 
Cisco IOS 7206VXR (Dynamips) 


Cisco IOL 


Cisco NX-OSv (Titanium) 


Cisco NX-OSv 9K 
Cisco FirePower 可 以 使 用 的 设备 


Cisco FirePower6 


Cisco vlOS 


Cisco vlOS L2 


Cisco vNAM 


图 C.4 可 以 使 用 的 设备 


经 过 以 上 步骤 ,仿真 平台 搭建 基本 完成 。 同 一 网 络 的 终端 客户 利用 Web 浏览 器 通过 添 
加 的 账户 信息 登录 到 平台 ,进行 相关 实验 练习 。 

静态 路 由 是 用 户 或 网 络 管理 员 手 工 配置 的 路 由 信息 。 配 置 静态 路 由 需要 了 解 网 络 的 拓 
扑 结构 ,便于 正确 设置 静态 路 由 信息 。 利 用 静态 路 由 实验 演示 系统 使 用 过 程 如 下 。 

1. 构建 拓扑 结构 

完成 该 实验 至 少 需要 两 台 路 由 器 和 两 台 测试 用 微机 。 终 端 计算 机 通过 TP 地 址 在 浏览 
器 中 登录 EVE-NG , 单 击 左边 的 菜单 Add an object-node, 在 弹出 的 窗口 中 选择 Cisco IOS 
3725(dynamips) ,在 随后 弹出 的 ADD ANEW NODE 窗口 将 Number of nodes to add 设置 
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为 “2”, 即 选择 两 台 路 由 器 ,其 他 选项 默认 即 可 ,最 后 单 击 窗口 下 方 的 save, 于 是 在 工作 台 窗 
口中 新 生成 两 台 路 由 器 。 采 用 同样 的 方法 ,在 ADD A NEW NODE 窗口 中 选择 VirtualPC 
(VPCS) ,添加 两 台 微 机 。 通 过 鼠标 拖拉 连 线 连 接 设 备 。 接 着 为 网 络 拓扑 规划 IP 地 址 。 整 
个 网 络 的 拓扑 结构 图 如 图 C. 5 所 示 。 


em EVE | Topology x 


€ > Q |O 192168.1.103/e9acy/ 
19216820 
192.1682.124 ^ 1921682272. 
ED 
192 108 IDA eod P 37257192.168.3.124 
(tao) 
192.168.1.0 a 
Cmno) nd) 

PVG P VPCA 
1P-192.168.1.100 /24 1P:192.168.3.100 /24 
网 关 : 192.168.1.1 网 关 : 192.168.3.1 


图 C.5 整个 网 络 的 拓扑 结构 图 


2. 配置 设备 ,使 网 络 互 联 互 通 

首先 配置 主机 TP 地 址 和 上 默认 网 关 , 主 机 VPC3 的 配置 命令 如 下 : VPCS- ip 192.168. 
1. 100/24 192. 168. 1.1; 主 机 VPC4 的 配置 命令 如 下 : VPCS- ip 192. 168. 3. 100/24 192. 
168. 3.1。 该 命令 的 格式 为 : IP 十 IP 地 址 / 掩 码 位 数 十 默认 网 关 。 

其 次 配置 路 由 器 端口 TP 地 址 , 单 击 路 由 器 37251, 弹 出 配置 窗口 ,配置 命令 如 下 。 


Router>en // 进 入 特权 模式 
Router# config t // 进 入 全 局 配置 模式 
Router (config) #hostname R1 // 给 设备 命名 


Rl (config)# interface fastEthernet 0/0 
Rl(config-if)fip address 192.168.1.1 255.255.255.0 
R1 (config- if)# no shu 

Rl(config-if)fexit 

R1 (config)£ interface fastEthernet 0/1 

R1 (config- if)# ip address 192.168.2.1 255.255.255.0 


R1 (config- if)#no shu 


同样 配置 路 由 器 37252 ,将 端口 Fa0/0 配置 地 址 192. 


址 192. 168. 3. 1/24, 


// 进 入 该 路 由 器 的 Fo/0 端口 
// 配 置 端口 的 rp 地址 

// 激 活该 端口 

// 退 出 该 端口 

// 进 入 端口 F0/1 

// 配 置 端口 ITP 地 址 

// 激活 该 端口 


168. 2. 2/24 ,将 端口 Fao/1l 配置 地 


接着 配置 静态 路 由 ,使 网 络 互联 互通 。 路 由 器 R 和 R2 的 静态 路 由 配置 如 下 。 
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R1 (config)# ip route 192.168.3.0 255.255.255.0 192.168.2.2 
R2 (config)f ip route 192.168.1.0 255.255.255.0 192.168.2.1 


3. 测试 网 络 连通 性 


VPCS» ping 192.168.3.100 

84 bytes from 192.168.3.100 icmp seq-1 ttl- 62 time- 30.261 ms 
84 bytes from 192.168.3.100 icmp seq-2 ttl- 62 time-24.441 ms 
84 bytes from 192.168.3.100 icmp seq-3 ttl- 62 time- 22.989 ms 
84 bytes from 192.168.3.100 icmp seq-4 ttl- 62 time- 31.865 ms 
84 bytes from 192.168.3.100 icmp seq-5 ttl- 62 time-23.291 ms 


结果 表明 ,整个 网 络 是 连通 的 。 


// 为 路 由 器 R1 配置 静态 路 由 
// 为 路 由 器 R2 配置 静态 路 由 
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